[求助]upx 脱壳后不能下内存断点-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 2 楼　　　内存断点原理内存读写断点的实现，众所周知是把相关内存页属性设置为PAGE_NOACCESS，这样当此页内内存被读写的时候会有异常传给调试器。但异常传给调试器以后的事，就很少有资料说起了，可能我比较孤陋寡闻，研究了几天才搞明白，原来当异常传给调试器时候，debugee进程被挂起，调试器把内存页属性重新修改回去，同时设置一个单步调试断点。这样debugee进程才可以正常执行过去，否则会一直被挂起。因为被设置了单步调试断点，所以执行一个指令就再次挂起，交给调试器去处理。这时候调试器把页面属性重新修改为PAGE_NOACCESS就可以了。　网络上搜了一下，发现这段话。 2009-1-31 01:23 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼你想说什么？太混乱了，没看明白你的意思。 2009-1-31 08:53 0
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 4 楼我只是想说我可能明白了内存断点的原理 2009-2-3 23:28 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼说的是OD的方法所以若你调试一下 od 就更好了. 也正因为这样. 多了一项检测OD的anti 2009-2-3 23:33 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 6 楼以为是文章呢，仔细一看，看下面一句就行了~~ “脱壳过程非常简单,一秒种就脱了。脱壳后可以运行，不过ＯＤ提示有压缩，可以运行，但不能下内存断点。” 2009-2-4 10:40 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 7 楼最多是检测内存断点罢了。 2009-2-4 12:39 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼利用OD这点可测得是否被Debugging (无关于内存断点) 2009-2-4 16:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 2 楼　　　内存断点原理内存读写断点的实现，众所周知是把相关内存页属性设置为PAGE_NOACCESS，这样当此页内内存被读写的时候会有异常传给调试器。但异常传给调试器以后的事，就很少有资料说起了，可能我比较孤陋寡闻，研究了几天才搞明白，原来当异常传给调试器时候，debugee进程被挂起，调试器把内存页属性重新修改回去，同时设置一个单步调试断点。这样debugee进程才可以正常执行过去，否则会一直被挂起。因为被设置了单步调试断点，所以执行一个指令就再次挂起，交给调试器去处理。这时候调试器把页面属性重新修改为PAGE_NOACCESS就可以了。　网络上搜了一下，发现这段话。 2009-1-31 01:23 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼你想说什么？太混乱了，没看明白你的意思。 2009-1-31 08:53 0
enrique 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	enrique 4 楼我只是想说我可能明白了内存断点的原理 2009-2-3 23:28 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼说的是OD的方法所以若你调试一下 od 就更好了. 也正因为这样. 多了一项检测OD的anti 2009-2-3 23:33 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 6 楼以为是文章呢，仔细一看，看下面一句就行了~~ “脱壳过程非常简单,一秒种就脱了。脱壳后可以运行，不过ＯＤ提示有压缩，可以运行，但不能下内存断点。” 2009-2-4 10:40 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 7 楼最多是检测内存断点罢了。 2009-2-4 12:39 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 8 楼利用OD这点可测得是否被Debugging (无关于内存断点) 2009-2-4 16:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复