[求助]很郁闷的一个反调试。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2 楼自己顶 2009-6-18 16:48 0
fengjl 雪币： 160 活跃值： (272) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 112 粉丝 1 关注私信	fengjl 1 3 楼这个没有代码, 看有没有大牛路过 2009-6-18 17:36 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 4 楼我想是程序在处理异常时做了手脚，但不知为什么会csrss来结束程序进程 2009-6-18 20:58 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 5 楼那就是异常咯 2009-6-19 10:21 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 6 楼那怎么跳过呢？怎么处理？ 2009-6-19 12:57 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 7 楼什么情况下会发生csrss结束程序进程呢 2009-6-19 18:07 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 8 楼有什么办法能让csrss来结束自己？？？？这才是关键！！请高手们指点一下啊！ 2009-6-19 18:09 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 9 楼 2009-6-20 09:01 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 10 楼正好在学习相关内容，我的理解，可能是哪有检测调试器的，一旦找到被调试，在csrss进程中查找相关进程句柄，然后结束进程. 2009-6-20 09:18 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 11 楼没有检测调试器的，在一些比较低层的系统dll下断点没事，比如ntdll里的函数，ZwXXX都可以正常下断点调试，但是比如下send函数断点，一旦触发断点进程就结束了。硬件断点，int3一点断点被触发就退出，不触发就没事。 2009-6-20 22:05 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 12 楼没人会吗 2009-6-23 11:34 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 13 楼搬个板凳围观 2009-6-23 12:17 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 14 楼貌似是MJ 说的哪个XP系统漏洞那。貌似没公开，你去他BOLG去找找。 2009-6-23 12:43 0
gxye 雪币： 6 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 61 粉丝 0 关注私信	gxye 15 楼不懂,看不明白 2009-6-23 13:46 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 16 楼应该是HideFromDebug反调试吧。在启动程序之前先运行HideToolz，并启动 anti_antidebug功能，然后启动进程，再Attach就OK了吧？ 2009-6-29 21:58 0
klxiwu 雪币： 121 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	klxiwu 17 楼 winlicense 2009 professional? 症状就是HideFromDebug 的现象，我也在研究这个问题简单处理zwsetthreadinformation没用,猜想是直接写etread 写HideFromDebug或者用MJ大牛提到的方法,但是我直接将这个值写0也还是不行另外有在研究的朋友可以一起探讨下 2009-7-1 09:18 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 18 楼不是winlicense 2009 professional，是一款游戏，真不知道它是如何让csrss结束它自己的 2009-7-3 14:02 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 19 楼现在发现od断下之后，单步不行，根本收不到调试事件了 2009-7-4 14:28 0
aeeee 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	aeeee 20 楼有用的问题总没高手来解决.. 2009-7-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2 楼自己顶 2009-6-18 16:48 0
fengjl 雪币： 160 活跃值： (272) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 112 粉丝 1 关注私信	fengjl 1 3 楼这个没有代码, 看有没有大牛路过 2009-6-18 17:36 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 4 楼我想是程序在处理异常时做了手脚，但不知为什么会csrss来结束程序进程 2009-6-18 20:58 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 5 楼那就是异常咯 2009-6-19 10:21 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 6 楼那怎么跳过呢？怎么处理？ 2009-6-19 12:57 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 7 楼什么情况下会发生csrss结束程序进程呢 2009-6-19 18:07 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 8 楼有什么办法能让csrss来结束自己？？？？这才是关键！！请高手们指点一下啊！ 2009-6-19 18:09 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 9 楼 2009-6-20 09:01 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 10 楼正好在学习相关内容，我的理解，可能是哪有检测调试器的，一旦找到被调试，在csrss进程中查找相关进程句柄，然后结束进程. 2009-6-20 09:18 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 11 楼没有检测调试器的，在一些比较低层的系统dll下断点没事，比如ntdll里的函数，ZwXXX都可以正常下断点调试，但是比如下send函数断点，一旦触发断点进程就结束了。硬件断点，int3一点断点被触发就退出，不触发就没事。 2009-6-20 22:05 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 12 楼没人会吗 2009-6-23 11:34 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 13 楼搬个板凳围观 2009-6-23 12:17 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 14 楼貌似是MJ 说的哪个XP系统漏洞那。貌似没公开，你去他BOLG去找找。 2009-6-23 12:43 0
gxye 雪币： 6 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 61 粉丝 0 关注私信	gxye 15 楼不懂,看不明白 2009-6-23 13:46 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 16 楼应该是HideFromDebug反调试吧。在启动程序之前先运行HideToolz，并启动 anti_antidebug功能，然后启动进程，再Attach就OK了吧？ 2009-6-29 21:58 0
klxiwu 雪币： 121 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	klxiwu 17 楼 winlicense 2009 professional? 症状就是HideFromDebug 的现象，我也在研究这个问题简单处理zwsetthreadinformation没用,猜想是直接写etread 写HideFromDebug或者用MJ大牛提到的方法,但是我直接将这个值写0也还是不行另外有在研究的朋友可以一起探讨下 2009-7-1 09:18 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 18 楼不是winlicense 2009 professional，是一款游戏，真不知道它是如何让csrss结束它自己的 2009-7-3 14:02 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 19 楼现在发现od断下之后，单步不行，根本收不到调试事件了 2009-7-4 14:28 0
aeeee 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	aeeee 20 楼有用的问题总没高手来解决.. 2009-7-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复