首页
社区
课程
招聘
[求助]Anit Ring0 Hook OD插件开发请教牛人们问题
发表于: 2008-12-15 00:47 25621

[求助]Anit Ring0 Hook OD插件开发请教牛人们问题

2008-12-15 00:47
25621
我看了shoooo的OD 是可以挂钩寻仙的游戏的

寻仙好象是TX的游戏吧 ,我机器上没有 所以我就下了个DNF做测试

使用了风月大大StrongOD的插件 配合自己刚改写的 Anit Ring0 Hook OD

内存可以读取了  可以用OD附加了

但是附加上去后 OD不显示代码 不知道是怎么原因

一开始估计是 ThreadHideFromDebugger  但是StrongOD里有 ZwSetInformationThread的SSDT HOOK  我想应该是处理了吧  我不放心 在自己的插件里又加进了 ZwSetInformationThread 的 inline Hook 屏蔽ThreadHideFromDebugger 可惜还是读取不出代码
是什么原因呢? 有什么地方没有过掉吗?


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (63)
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我也是这样。。。读不出代码。。。。
2008-12-15 02:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
调试端口``呵呵
2008-12-15 02:53
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
4
调试端口操作应该是 ZwQueryInformationProcess  ProcessDebugPort
我看StrongOD 也拦截了啊 怎么会这样呢

莫非还有  ZwSetInformationProcess ProcessHideFromDebugger 这种搭配不成?
2008-12-15 05:07
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这是个什么概念?
2008-12-15 05:09
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
6
我硬盘上游戏好多啊
上传的附件:
  • 1.jpg (147.26kb,1110次下载)
2008-12-15 09:34
0
雪    币: 272
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
呵呵。这个公开不得啊,方法有很多,但公开了就被杀!
要知道TX现在开始搜索内存特征码了。。。。。。

到时候就算你有源码也会被杀得很惨
2008-12-15 09:42
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
8
这个游戏谁会调试啊,教教我啊

上传的附件:
  • 3.jpg (86.74kb,1103次下载)
2008-12-15 10:01
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
9
海风月影10级了,厉害啊
2008-12-15 10:02
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
10
穿得好性感, 旁边的是谁?
2008-12-15 10:15
0
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
都是研究游戏的牛~
2008-12-15 13:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
买酱油的》》》》》
2008-12-15 13:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13

有些委琐的操作如果它不通过标准函数来实现,你自然拦截不到了````呵呵
上传的附件:
2008-12-15 13:23
0
雪    币: 3735
活跃值: (3057)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
现在研究dnf的很多啊。
2008-12-15 15:32
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
15
一语惊醒梦中人
2008-12-15 16:02
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
16
**************
2008-12-15 19:51
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
[QUOTE=海风月影;550153]这个游戏谁会调试啊,教教我啊

[/QUOTE]

宠物名字是亮点:shooo
2008-12-15 21:00
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
HideFromDebugger把
2008-12-17 04:13
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
我们以前碰到过的..要用xpsp3的系统..inter的cpu ...不过后来看到dnf用的招实在是太委琐..没法搞了
2008-12-17 11:15
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
20
楼上几个发图的小心了,江湖上流传一种猥琐反调试手段:监控可疑用户机器,一上线就把他进程列表的文件发给服务器。
2008-12-17 19:15
0
雪    币: 332
活跃值: (30)
能力值: ( LV12,RANK:460 )
在线值:
发帖
回帖
粉丝
21
我的寻仙用什么版的OD都无法附加,恢复了shadow SSDT也没用,关键是没有挂起tessafe.sys这个线程?不过开了狙剑,用CE可以读内存了
2008-12-18 01:19
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
可疑机器?发进程列表文件?恐怖
2008-12-18 12:29
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
还有几个 Inline hook 没回复,如打开进程,读写内存,回复了这几个CE就可以用了
2008-12-18 12:30
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
难道是 PS_CROSS_THREAD_FLAGS_HIDEFROMDBG ?
2008-12-18 12:31
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
25
TX 有个线程 不停 填写debugport
2008-12-18 13:46
0
游客
登录 | 注册 方可回帖
返回
//