[求助]Anit Ring0 Hook OD插件开发请教牛人们问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]Anit Ring0 Hook OD插件开发请教牛人们问题

2008-12-15 00:47 25145

[求助]Anit Ring0 Hook OD插件开发请教牛人们问题

bujin888

2008-12-15 00:47

25145

我看了shoooo的OD 是可以挂钩寻仙的游戏的

寻仙好象是TX的游戏吧 ,我机器上没有所以我就下了个DNF做测试

使用了风月大大StrongOD的插件配合自己刚改写的 Anit Ring0 Hook OD

内存可以读取了可以用OD附加了

但是附加上去后 OD不显示代码不知道是怎么原因

一开始估计是 ThreadHideFromDebugger 但是StrongOD里有 ZwSetInformationThread的SSDT HOOK 我想应该是处理了吧我不放心在自己的插件里又加进了 ZwSetInformationThread 的 inline Hook 屏蔽ThreadHideFromDebugger 可惜还是读取不出代码
是什么原因呢? 有什么地方没有过掉吗?

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#调试逆向

上传的附件：

sshot-1.png （54.17kb，1129次下载）

收藏・9

点赞・0

打赏

最新回复 (63) 1 2 3 ▶
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2008-12-15 02:45 2 楼 0 我也是这样。。。读不出代码。。。。
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2008-12-15 02:53 3 楼 0 调试端口``呵呵
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 05:07 4 楼 0 调试端口操作应该是 ZwQueryInformationProcess ProcessDebugPort 我看StrongOD 也拦截了啊怎么会这样呢莫非还有 ZwSetInformationProcess ProcessHideFromDebugger 这种搭配不成?
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2008-12-15 05:09 5 楼 0 这是个什么概念？
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2008-12-15 09:34 6 楼 0 我硬盘上游戏好多啊上传的附件： 1.jpg （147.26kb，1110次下载）
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 2008-12-15 09:42 7 楼 0 呵呵。这个公开不得啊，方法有很多，但公开了就被杀！要知道TX现在开始搜索内存特征码了。。。。。。到时候就算你有源码也会被杀得很惨
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2008-12-15 10:01 8 楼 0 这个游戏谁会调试啊，教教我啊上传的附件： 3.jpg （86.74kb，1103次下载）
ccfer 雪币： 8191 活跃值： (4273) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1528 粉丝 104 关注私信	ccfer 16 2008-12-15 10:02 9 楼 0 海风月影10级了,厉害啊
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2008-12-15 10:15 10 楼 0 穿得好性感，旁边的是谁？
songyibug 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	songyibug 2008-12-15 13:14 11 楼 0 都是研究游戏的牛~
shenruan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	shenruan 2008-12-15 13:16 12 楼 0 买酱油的》》》》》
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2008-12-15 13:23 13 楼 0 有些委琐的操作如果它不通过标准函数来实现,你自然拦截不到了````呵呵上传的附件： tmp.jpg （129.85kb，1048次下载）
collo 雪币： 2799 活跃值： (2172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	collo 2008-12-15 15:32 14 楼 0 现在研究dnf的很多啊。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 16:02 15 楼 0 一语惊醒梦中人
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 19:51 16 楼 0 **************
简单爱雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	简单爱 2008-12-15 21:00 17 楼 0 [QUOTE=海风月影;550153]这个游戏谁会调试啊，教教我啊 [/QUOTE] 宠物名字是亮点：shooo
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-17 04:13 18 楼 0 HideFromDebugger把
caiyangan 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	caiyangan 2008-12-17 11:15 19 楼 0 我们以前碰到过的..要用xpsp3的系统..inter的cpu ...不过后来看到dnf用的招实在是太委琐..没法搞了
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 20 关注私信	nbw 24 2008-12-17 19:15 20 楼 0 楼上几个发图的小心了，江湖上流传一种猥琐反调试手段：监控可疑用户机器，一上线就把他进程列表的文件发给服务器。
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 0 关注私信	火影 11 2008-12-18 01:19 21 楼 0 我的寻仙用什么版的OD都无法附加，恢复了shadow SSDT也没用，关键是没有挂起tessafe.sys这个线程？不过开了狙剑，用CE可以读内存了
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:29 22 楼 0 可疑机器？发进程列表文件？恐怖
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:30 23 楼 0 还有几个 Inline hook 没回复，如打开进程，读写内存，回复了这几个CE就可以用了
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:31 24 楼 0 难道是 PS_CROSS_THREAD_FLAGS_HIDEFROMDBG ？
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-18 13:46 25 楼 0 TX 有个线程不停填写debugport
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

bujin888

发帖

365

回帖

210

RANK

关注

私信

他的文章

[求助]int 2E 和 sysenter在 win7 x64 的 32位程序内能正常执行吗？

[求助]关于dbghelp中StackWalk64用法！

[讨论]现在中国社会的黑客精神

[注意]Win8中另类链表检测 DLL

[delphi版]ring3层SetThreadContext方式插入DLL

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) 1 2 3 ▶
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2008-12-15 02:45 2 楼 0 我也是这样。。。读不出代码。。。。
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2008-12-15 02:53 3 楼 0 调试端口``呵呵
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 05:07 4 楼 0 调试端口操作应该是 ZwQueryInformationProcess ProcessDebugPort 我看StrongOD 也拦截了啊怎么会这样呢莫非还有 ZwSetInformationProcess ProcessHideFromDebugger 这种搭配不成?
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2008-12-15 05:09 5 楼 0 这是个什么概念？
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2008-12-15 09:34 6 楼 0 我硬盘上游戏好多啊上传的附件： 1.jpg （147.26kb，1110次下载）
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 2008-12-15 09:42 7 楼 0 呵呵。这个公开不得啊，方法有很多，但公开了就被杀！要知道TX现在开始搜索内存特征码了。。。。。。到时候就算你有源码也会被杀得很惨
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2008-12-15 10:01 8 楼 0 这个游戏谁会调试啊，教教我啊上传的附件： 3.jpg （86.74kb，1103次下载）
ccfer 雪币： 8191 活跃值： (4273) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1528 粉丝 104 关注私信	ccfer 16 2008-12-15 10:02 9 楼 0 海风月影10级了,厉害啊
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2008-12-15 10:15 10 楼 0 穿得好性感，旁边的是谁？
songyibug 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	songyibug 2008-12-15 13:14 11 楼 0 都是研究游戏的牛~
shenruan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	shenruan 2008-12-15 13:16 12 楼 0 买酱油的》》》》》
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 2008-12-15 13:23 13 楼 0 有些委琐的操作如果它不通过标准函数来实现,你自然拦截不到了````呵呵上传的附件： tmp.jpg （129.85kb，1048次下载）
collo 雪币： 2799 活跃值： (2172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	collo 2008-12-15 15:32 14 楼 0 现在研究dnf的很多啊。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 16:02 15 楼 0 一语惊醒梦中人
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-15 19:51 16 楼 0 **************
简单爱雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	简单爱 2008-12-15 21:00 17 楼 0 [QUOTE=海风月影;550153]这个游戏谁会调试啊，教教我啊 [/QUOTE] 宠物名字是亮点：shooo
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-17 04:13 18 楼 0 HideFromDebugger把
caiyangan 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	caiyangan 2008-12-17 11:15 19 楼 0 我们以前碰到过的..要用xpsp3的系统..inter的cpu ...不过后来看到dnf用的招实在是太委琐..没法搞了
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 20 关注私信	nbw 24 2008-12-17 19:15 20 楼 0 楼上几个发图的小心了，江湖上流传一种猥琐反调试手段：监控可疑用户机器，一上线就把他进程列表的文件发给服务器。
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 0 关注私信	火影 11 2008-12-18 01:19 21 楼 0 我的寻仙用什么版的OD都无法附加，恢复了shadow SSDT也没用，关键是没有挂起tessafe.sys这个线程？不过开了狙剑，用CE可以读内存了
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:29 22 楼 0 可疑机器？发进程列表文件？恐怖
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:30 23 楼 0 还有几个 Inline hook 没回复，如打开进程，读写内存，回复了这几个CE就可以用了
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 2008-12-18 12:31 24 楼 0 难道是 PS_CROSS_THREAD_FLAGS_HIDEFROMDBG ？
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2008-12-18 13:46 25 楼 0 TX 有个线程不停填写debugport
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复