首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]OD内存断点失效怎么处理?
发表于: 2009-1-10 11:52 8666

[求助]OD内存断点失效怎么处理?

elgma 活跃值
2009-1-10 11:52
8666
各位大哥,小弟在调试一程序时,遇到以下问题:
1.下了内存访问断点,程序断不下来,但是下内存读断点,被调试的程序直接跳入内存访问异常处理代码,然后程序退出。
2.下了硬件断点,od提示目标程序修改DRX寄存器,然后目标程序退出。
请问:
1.是不是我od没有配置好?
2.有什么方法可以使用硬件断点和内存读断点,而不让被调试的程序退出?
谢谢大家了!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
2
很明显,你的程序有anti,或者加了带anti功能的壳。

试试OllyAdvanced插件,其中有一个选项是强化硬件断点的,实际上可能是patch掉GetThreadContext/SetThreadContext函数了。

遇到内存断点失效,请注意VirtualProtect/VirtualProtectEx函数,通常情况跟它有关系。
2009-1-10 12:53
0
elgma
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢大哥回复,用了该办法还是不行。
我已经将该程序的所有钩子去掉了,并将它的内核保护线程挂起了,情况还是这样,可能是我对od不精通,没有配置好吗?或者还有其他的解决办法?
2009-1-10 13:12
0
太难了
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
咳,你都不想一想别人的防范思路,你不会分段下断点啊 ? 没办法的情况下,万能的对策唯有这样了

Y 的不相信它“天生”就有这个功能,如果真的“先天”具备,你不会去它娘的肚子里看一看
2009-1-10 13:19
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
5
你这么一说, 是不是又是做外挂啊!内核线程挂起了,但内核保护还在啊,比如可能存在对IDT的HOOK,或SSDT的HOOK等。
2009-1-10 14:09
0
elgma
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
做挂呀,还没有这个本事啊,只是在破解一个工程软件遇到了调试困难。
我是先挂起保护的内核线程,然后用malware defender 将所有HOOk去掉,包括内核、用户态的,可以单步调试,唉就是不能下硬件、内存读断点啊,这个急啊?
2009-1-10 16:22
0
elgma
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
兄台能否说的详细些?小弟有些菜啊,不太明白。
2009-1-10 16:24
0
fyfy
雪    币: 124
活跃值: (205)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
有人能说得明白点吗这个问题,下不了内存断点也困扰我很久了
2010-3-12 22:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//