[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?

发表于: 2009-4-7 06:25 48324

[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?

PEBOSS

2009-4-7 06:25

48324

StrongOD 的 Anti Anti_Attach 是怎么做到的?

有个程序,我OpenProcess 都没问题

但是只要 DebugActiveProcess ,他马上就就检测到了

ps;
没想到在一个月后的今天,为本帖居然出了个红个公告
http://bbs.pediy.com/announcement.php?f=4&a=112
实在是值得纪念的帖子

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・13

免费・0

支持

最新回复 (125) 1 2 3 4 5 6 ▶
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼创建远程线程执行CC 2009-4-7 08:38 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 3 楼在对方进程中远程执行了CC 是不是还要 DebugActiveProcess 对方? 2009-4-7 08:42 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼先去学习anti,再学习如何反anti 2009-4-7 14:39 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼你觉得我发这个贴提问,是为了什么呢? 2009-4-7 14:42 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 6 楼应该是为了增加发帖数. 不知道我回答得对不对. 如有错误.概不负责. 2009-4-7 14:44 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 7 楼为了不劳而获。 2009-4-7 14:45 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 8 楼新手上路,学习是不是也得有个思路与方向? 我说让风月直接将源码拿来吗? 我只是想知道如何实现从哪里下手? 如果.你不想让我而获,你完全可以视而不见,我没有任何求的意思, 大家都只是学习而已,不用这样贬低别人吧, 为什么不愿意别人站在巨人肩膀上看东西呢? 2009-4-7 14:50 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 9 楼你怎么研究？方法2楼说了，虽然不全正确，不过你3楼回答表明你完全看不懂，所以叫你先学如何anti。 2009-4-7 14:51 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 10 楼我知道写入 CC 是产生异常, 而且以我自己的所用过的,只会用 DebugActiveProcess 去附加对方进程, 但是,我自己觉得目标是禁止我 DebugActiveProcess , 所以产生了一个问题所以.我于次回复,是不是用 DebugActiveProcess 来接受异常处理? 2009-4-7 14:56 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 11 楼 DebugActiveProcess在你自己的进程里，它怎么anti？它anti的东西都在自己进程里。说了半天，anti原理你没搞懂，无法交流。 2009-4-7 15:00 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 12 楼我发这个贴,不是说我懂了什么东西,我这是在求助, 我当然承认我没搞懂,要不然.也不会到求助这么低级了,让人看不起了, 我现在的理解是,我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的, 就好像检测很多程序,不让OpenProcess 一样, 可能,我理解有误, 所以求助求助! 要不然论坛用来干嘛? 2009-4-7 15:09 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 13 楼不知道这个无法交流是从哪分析来的? 你求学时,不懂时,别人都这么说你的? 2009-4-7 15:11 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼回楼上,实事是,我学习的时候没人教我,也没怎么问别人.你去人肉我好了. 至于你的问题,既然你这么理解我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的, 只能说这个思路是错的,论坛上那么多介绍anti附加的文章,你一篇都没看过? 2009-4-7 15:17 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 15 楼首先我是很敬佩你这种精神, 要不然也不会有精华 3 了, 你不怎么问别人,还请您高抬贵手,放过我们这些新人,就让我们多问问, 可能我们比较菜.还希望您多多包涵, 2009-4-7 15:25 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 16 楼学习.学习.学习 2009-4-7 15:32 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 17 楼 nooby是天才级的，不要要求别人也都是这个级别嘛。看得出来，楼主是来学习的。 2009-4-7 15:33 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 18 楼我用baidu 搜索 ANTI 附加 OD ,没有找到个像样的, 只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的, 所以,最后就发个贴,看看应该往哪看了 2009-4-7 15:37 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 19 楼楼上的楼上，anti attach不是检查调试器。我个人认为你学习态度不对，那个只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的, 你看懂了么？看懂了你就不问了。如果看不懂，那么说说哪里看不懂，把你看懂的写出来，起码也是研究过的。 DbgUiRemoteBreakin, DbgBreakPoint, DbgUserBreakPoint, PEB 2009-4-7 15:37 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 20 楼我的学习态度就是玩.这也有错. 2009-4-7 15:45 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 21 楼我当然知道牛人特别多,而且.我知道.我现在理解上有很多错误, 先不说ntdll.dll 的函数, 我只是对,外壳版主回复的:"创建远程线程执行CC" , 我目前的水平,知道的,如果执行了 CC , 我必须要捕获这个异常, 我能想到的,就只有用 DebugActiveProcess ()去进行这个工作, 我不知道态度哪里不对了? 可能.我对你的那个回复不满吧!! 2009-4-7 15:45 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 22 楼我对他的回复也很不满. 2009-4-7 15:47 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 23 楼日了，只能膜拜你的想象力了。 DebugActiveProcess是必要的，否则调试器收不到消息。但是附加的时候系统会做一系列事情，最后还要在目标进程里断下来，这个过程有一部分在目标进程里完成，也就是有可以被anti的地方。至于哪里anti了，往上翻，ctrl+a看全图。 2009-4-7 15:50 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 24 楼 en....f^kk 2009-4-7 15:52 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 25 楼所以这里有一个问题了, 对方是不让你 DebugActiveProcess 的, 你只要调用 DebugActiveProcess 目标ID,他马上退出我的程序没可能执行到 WaitForDebugEvent 可是.海风的插件不知道做了什么事,直接就无视这个 ,直接 DebugActiveProcess 目标, 2009-4-7 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

PEBOSS

144

发帖

856

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (125) 1 2 3 4 5 6 ▶
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼创建远程线程执行CC 2009-4-7 08:38 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 3 楼在对方进程中远程执行了CC 是不是还要 DebugActiveProcess 对方? 2009-4-7 08:42 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼先去学习anti,再学习如何反anti 2009-4-7 14:39 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼你觉得我发这个贴提问,是为了什么呢? 2009-4-7 14:42 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 6 楼应该是为了增加发帖数. 不知道我回答得对不对. 如有错误.概不负责. 2009-4-7 14:44 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 7 楼为了不劳而获。 2009-4-7 14:45 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 8 楼新手上路,学习是不是也得有个思路与方向? 我说让风月直接将源码拿来吗? 我只是想知道如何实现从哪里下手? 如果.你不想让我而获,你完全可以视而不见,我没有任何求的意思, 大家都只是学习而已,不用这样贬低别人吧, 为什么不愿意别人站在巨人肩膀上看东西呢? 2009-4-7 14:50 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 9 楼你怎么研究？方法2楼说了，虽然不全正确，不过你3楼回答表明你完全看不懂，所以叫你先学如何anti。 2009-4-7 14:51 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 10 楼我知道写入 CC 是产生异常, 而且以我自己的所用过的,只会用 DebugActiveProcess 去附加对方进程, 但是,我自己觉得目标是禁止我 DebugActiveProcess , 所以产生了一个问题所以.我于次回复,是不是用 DebugActiveProcess 来接受异常处理? 2009-4-7 14:56 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 11 楼 DebugActiveProcess在你自己的进程里，它怎么anti？它anti的东西都在自己进程里。说了半天，anti原理你没搞懂，无法交流。 2009-4-7 15:00 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 12 楼我发这个贴,不是说我懂了什么东西,我这是在求助, 我当然承认我没搞懂,要不然.也不会到求助这么低级了,让人看不起了, 我现在的理解是,我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的, 就好像检测很多程序,不让OpenProcess 一样, 可能,我理解有误, 所以求助求助! 要不然论坛用来干嘛? 2009-4-7 15:09 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 13 楼不知道这个无法交流是从哪分析来的? 你求学时,不懂时,别人都这么说你的? 2009-4-7 15:11 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼回楼上,实事是,我学习的时候没人教我,也没怎么问别人.你去人肉我好了. 至于你的问题,既然你这么理解我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的, 只能说这个思路是错的,论坛上那么多介绍anti附加的文章,你一篇都没看过? 2009-4-7 15:17 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 15 楼首先我是很敬佩你这种精神, 要不然也不会有精华 3 了, 你不怎么问别人,还请您高抬贵手,放过我们这些新人,就让我们多问问, 可能我们比较菜.还希望您多多包涵, 2009-4-7 15:25 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 16 楼学习.学习.学习 2009-4-7 15:32 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 17 楼 nooby是天才级的，不要要求别人也都是这个级别嘛。看得出来，楼主是来学习的。 2009-4-7 15:33 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 18 楼我用baidu 搜索 ANTI 附加 OD ,没有找到个像样的, 只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的, 所以,最后就发个贴,看看应该往哪看了 2009-4-7 15:37 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 19 楼楼上的楼上，anti attach不是检查调试器。我个人认为你学习态度不对，那个只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的, 你看懂了么？看懂了你就不问了。如果看不懂，那么说说哪里看不懂，把你看懂的写出来，起码也是研究过的。 DbgUiRemoteBreakin, DbgBreakPoint, DbgUserBreakPoint, PEB 2009-4-7 15:37 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 20 楼我的学习态度就是玩.这也有错. 2009-4-7 15:45 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 21 楼我当然知道牛人特别多,而且.我知道.我现在理解上有很多错误, 先不说ntdll.dll 的函数, 我只是对,外壳版主回复的:"创建远程线程执行CC" , 我目前的水平,知道的,如果执行了 CC , 我必须要捕获这个异常, 我能想到的,就只有用 DebugActiveProcess ()去进行这个工作, 我不知道态度哪里不对了? 可能.我对你的那个回复不满吧!! 2009-4-7 15:45 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 22 楼我对他的回复也很不满. 2009-4-7 15:47 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 23 楼日了，只能膜拜你的想象力了。 DebugActiveProcess是必要的，否则调试器收不到消息。但是附加的时候系统会做一系列事情，最后还要在目标进程里断下来，这个过程有一部分在目标进程里完成，也就是有可以被anti的地方。至于哪里anti了，往上翻，ctrl+a看全图。 2009-4-7 15:50 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 24 楼 en....f^kk 2009-4-7 15:52 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 25 楼所以这里有一个问题了, 对方是不让你 DebugActiveProcess 的, 你只要调用 DebugActiveProcess 目标ID,他马上退出我的程序没可能执行到 WaitForDebugEvent 可是.海风的插件不知道做了什么事,直接就无视这个 ,直接 DebugActiveProcess 目标, 2009-4-7 16:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复