[求助]奇怪的调试不能挂接-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]奇怪的调试不能挂接

2008-11-14 00:36 3776

[求助]奇怪的调试不能挂接

yulewanglu 活跃值

2008-11-14 00:36

3776

我最近在调试一款游戏用了些插件也恢复了被他hook的某些函数

但是最后还是解决不了问题啊

有点奇怪我用OD挂接的时候 OD调试正在创建线程也就是OD挂上去的时候在创建线程

结果创建了一个就停住了然后我看模块只有少数个2 3个系统dll 接着OD就不创建了

也不知道此程序用了什么反调试技术

不知道哪位大侠给点思路我郁闷很久了就是挂接不完全了刚挂接就停住了没办法创建线程

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#调试逆向

收藏・0

点赞・0

打赏

最新回复 (1)
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 2008-11-14 09:39 2 楼 0 看现象应该是调试器无法接收到调试事件,有可能该进程的所有线程被设置了HideFromDebugger。要么是R3调用API实现的，要么是R0直接修改ETHREAD结构中的HideFromDebugger标识实现的。如果是通过R3的API调用实现的话，有个比较简单的方法可以过，直接使用HideTools的 Anti_AntiDebug功能就可以过。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (1)

stupidass

雪币： 356

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

163

粉丝

关注

私信

stupidass 2008-11-14 09:39: 2 楼
0

看现象应该是调试器无法接收到调试事件,有可能该进程的所有线程被设置了HideFromDebugger。要么是R3调用API实现的，要么是R0直接修改ETHREAD结构中的HideFromDebugger标识实现的。如果是通过R3的API调用实现的话，有个比较简单的方法可以过，直接使用HideTools的 Anti_AntiDebug功能就可以过。