安全C组 发表于 2018-1-25 04:59

!!!请大家赐教这是什么情况?

本帖最后由 安全C组 于 2018-1-25 19:24 编辑

关于 xx行动FZ 狙击手的。{:5_117:}

有两个疑问:
第一,在进程列表里可以看到,进程名为QQ.exe(我随便下的一个版本,这个好像是终结者2的。不过和xx行动的一样)。但是OD附加的时候却找不到该进程。然而用OD的“拖”窗口附加却显示该进程为 explorer.exe.他这个是怎么做到的,也不是我见过的文件映射内存共享呀。我对她这个处理方法很感兴趣,不知道有没有大牛了解这是怎么做到的?

第二。载入或者附加都会触发退出暗桩,是因为他的这种对文件的处理方式呢还是因为检测到OD了呢?

第一次遇到这种的情况,完全不知道该从哪下手了,斗胆恳请大牛给个思路,谢谢。

不知道我这算不算违规,应该不算求破吧?我是实在受不鸟啦。。。自己真的一筹莫展{:5_191:}

链接:https://pan.baidu.com/s/1eSZZ5hK 密码:nlsz


294746443 发表于 2018-1-25 07:47

飘零金盾,还加了某些防逆向你还愿意玩不

安黛雅 发表于 2018-1-25 08:10

od.exe -p

狐白小刺客 发表于 2018-1-25 08:36

他这个变成exp进程 不能在代码上改变但是还是能修改代码的
而且他检测 也是检测R3范围内 反调试

狐白小刺客 发表于 2018-1-25 08:38

即使PJ了 也要在窗口 那里处理代码 并且代码也是被v了不然无功能

安全C组 发表于 2018-1-25 19:25

魔弑神 发表于 2018-1-25 08:36
他这个变成exp进程 不能在代码上改变但是还是能修改代码的
而且他检测 也是检测R3范围内 反调试

您的意思是说他这种对程序的处理方式不是作者弄的,而是验证的防逆向的手段吗

安全C组 发表于 2018-1-25 19:26

294746443 发表于 2018-1-25 07:47
飘零金盾,还加了某些防逆向你还愿意玩不

{:5_191:}真是飘零金盾吗

294746443 发表于 2018-1-26 09:35

是滴抓包即可看到

294746443 发表于 2018-1-26 09:36

直接写DLL劫持补丁应该可以破掉

安全C组 发表于 2018-1-27 08:24

294746443 发表于 2018-1-26 09:36
直接写DLL劫持补丁应该可以破掉

{:5_188:}现在的问题是都扔不到OD里边 - -
页: [1] 2
查看完整版本: !!!请大家赐教这是什么情况?