-
-
求助]关于dll的调试
-
发表于: 2009-6-8 19:03
-
最近研究一个挂。。
跟着跟着,突然一个LoadLibrary,紧接着一个SetWindowsHookEx,完了。。主程序退出了,挂的窗口弹出来了
看来主要功能模块都在那个dll里面,于是我用od来attach,显示无法加载
在命令行下运行od -p pid,同样无法attach
用任务管理器看进程,正常。。接着用icesword看。同样正常。。我准备用loadpe把那个dll文件dump出来,这样才发现了不正常。。
同样的pid,在loadpe里显示的进程名却变了。。变成了【system】,晕
现在都不知道怎样来调试这个dll文件了
我试过一下两个方法
1.在主程序SetWindowsHookEx的时候,把pid改成一个记事本进程的pid,这样dll文件就跑到记事本进程里面来了,,这样就可以避开游戏的反调试了,而直接调试notepad.exe就可以了
但却没成功。挂的窗口没弹出来,所以我想可能是dll在启动的时候可能是检查了宿主程序的一些属性。比如窗口
2.直接先加载游戏(当然我知道这个的可能性更小),再在事件中选择加载dll时断下
但这个游戏是这样启动的
patch.exe->loader.exe->GameMain.exe进过了三层exe的加载
我把前2个exe的启动的参数都得到了,,用这些参数启动GameMain。exe,成功了。
但却始终登陆不了。不知道什么原因
现在我的困惑是。这样的dll到底怎么来调试呢。而且这个dll是加了asprotect1.2x的壳,静态分析也不可能
跟着跟着,突然一个LoadLibrary,紧接着一个SetWindowsHookEx,完了。。主程序退出了,挂的窗口弹出来了
看来主要功能模块都在那个dll里面,于是我用od来attach,显示无法加载
在命令行下运行od -p pid,同样无法attach
用任务管理器看进程,正常。。接着用icesword看。同样正常。。我准备用loadpe把那个dll文件dump出来,这样才发现了不正常。。
同样的pid,在loadpe里显示的进程名却变了。。变成了【system】,晕
现在都不知道怎样来调试这个dll文件了
我试过一下两个方法
1.在主程序SetWindowsHookEx的时候,把pid改成一个记事本进程的pid,这样dll文件就跑到记事本进程里面来了,,这样就可以避开游戏的反调试了,而直接调试notepad.exe就可以了
但却没成功。挂的窗口没弹出来,所以我想可能是dll在启动的时候可能是检查了宿主程序的一些属性。比如窗口
2.直接先加载游戏(当然我知道这个的可能性更小),再在事件中选择加载dll时断下
但这个游戏是这样启动的
patch.exe->loader.exe->GameMain.exe进过了三层exe的加载
我把前2个exe的启动的参数都得到了,,用这些参数启动GameMain。exe,成功了。
但却始终登陆不了。不知道什么原因
现在我的困惑是。这样的dll到底怎么来调试呢。而且这个dll是加了asprotect1.2x的壳,静态分析也不可能
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
