首页
社区
课程
招聘
[求助]很郁闷的一个反调试。
发表于: 2009-6-18 13:50 7922

[求助]很郁闷的一个反调试。

2009-6-18 13:50
7922
我把问题详细描述一下:
1,我选择正常运行软件,然后od附加,没有问题
2,用od设断点,F2,硬件断点,内存断点,一旦断点被触发,软件退出。
3,od下断ExitProcess,TerminateProcess均无效,后来在内核hook发现竟然是csrss调用了NtTerminateProcess函数结束软件进程,ExitStatus状态码为异常号。

还请有研究过的朋友指点一下,软件反调试的大概原理。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
自己顶
2009-6-18 16:48
0
雪    币: 160
活跃值: (272)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
这个没有代码, 看有没有大牛路过
2009-6-18 17:36
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我想是程序在处理异常时做了手脚,但不知为什么会csrss来结束程序进程
2009-6-18 20:58
0
雪    币: 213
活跃值: (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
那就是异常咯
2009-6-19 10:21
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
那怎么跳过呢?怎么处理?
2009-6-19 12:57
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
什么情况下会发生csrss结束程序进程呢
2009-6-19 18:07
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
有什么办法能让csrss来结束自己????这才是关键!!请高手们指点一下啊!
2009-6-19 18:09
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
2009-6-20 09:01
0
雪    币: 246
活跃值: (91)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
正好在学习相关内容,我的理解,可能是哪有检测调试器的,一旦找到被调试,在csrss进程中查找相关进程句柄,然后结束进程.
2009-6-20 09:18
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
没有检测调试器的,在一些比较低层的系统dll下断点没事,比如ntdll里的函数,ZwXXX都可以正常下断点调试,但是比如下send函数断点,一旦触发断点进程就结束了。硬件断点,int3一点断点被触发就退出,不触发就没事。
2009-6-20 22:05
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
没人会吗
2009-6-23 11:34
0
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
搬个板凳围观
2009-6-23 12:17
0
雪    币: 134
活跃值: (157)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
貌似是MJ 说的哪个XP系统漏洞那。貌似没公开,你去他BOLG去找找。
2009-6-23 12:43
0
雪    币: 6
活跃值: (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
不懂,看不明白
2009-6-23 13:46
0
雪    币: 356
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
应该是HideFromDebug反调试吧。在启动程序之前先运行HideToolz,并启动 anti_antidebug功能,然后启动进程,再Attach就OK了吧?
2009-6-29 21:58
0
雪    币: 121
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
winlicense 2009 professional?
症状就是HideFromDebug 的现象,我也在研究这个问题  简单处理zwsetthreadinformation没用,猜想是直接写etread 写HideFromDebug或者用MJ大牛提到的方法,但是我直接将这个值写0也还是不行
另外有在研究的朋友可以一起探讨下
2009-7-1 09:18
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
不是winlicense 2009 professional,是一款游戏,真不知道它是如何让csrss结束它自己的
2009-7-3 14:02
0
雪    币: 210
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
现在发现od断下之后,单步不行,根本收不到调试事件了
2009-7-4 14:28
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
有用的问题总没高手来解决..
2009-7-4 17:56
0
游客
登录 | 注册 方可回帖
返回
//