反调试研究求助!
本帖最后由 爱我你怕了吗 于 2021-8-24 03:14 编辑有一说一,程序是超时代7.x ,不是求破,而是连附加都附加不了!
遇到的问题:
进程A已创建进程的形式(CreateProcessW)启动进程B,
创建时带有参数,并且指定父进程(进程A)已调试状态打开的子进程(进程B)
此时,OD无法附加进程B,因为已被父进程占用!
打包程序中,6 - 副本.exe为父进程,运行时会释放DLL,也就是进程B Player.dll
尝试手段:
进程创建时,去除调试标志,程序直接退出(失败)
进程创建时,修改调试标志,让其父进程不以调试状态打开子进程,程序直接退出(失败)
哈勃:https://habo.qq.com/file/showdetail?pk=ADcGYF1rB2UIOFs7U2U%3D
蓝走运:https://wwa.lanzoui.com/i3tsQt2vvcf
目标:只要能附加子进程即可!
本帖最后由 狐白小刺客 于 2021-8-24 13:04 编辑
1.参考Loli4.x插件中的30号 接管调试功能
2.参考LoliDebugger 实现自建体系调试系统 不走系统的调试流程 自然你也就能附加了 调试器走自己的 软件走系统的 不会冲突也是解决的最好方法
3.伪调试
论坛应该有研究过超时代的大佬把,求指教,只要能附加就好! 本帖最后由 Rooking 于 2021-8-24 11:42 编辑
你这个看起来像是专业版或者更高级的版本加密,请问你是如何确定 这是7.x加密,我怎么看着像9.36加密 给你贴一张图 然后直接登录就可以了 但是不知道是不是视频有问题 还是怎么我就听到了2句话就完了
本帖最后由 爱我你怕了吗 于 2021-8-24 17:56 编辑
Rooking 发表于 2021-8-24 15:26
给你贴一张图 然后直接登录就可以了 但是不知道是不是视频有问题 还是怎么我就听到了2句话就完了
不是9.36,我逆过9.36和10.1,
判断为7.x是因为在吾爱的一个帖子,程序的大部分特征都能对的上,
发帖时间为2013,看楼主判断为7.X,即使不是7.X,应该也是早期版本https://www.52pojie.cn/thread-211131-1-1.html
这是帖子,他说的分离手段,我昨天才会操作,但还是有点问题
本帖最后由 爱我你怕了吗 于 2021-8-24 18:07 编辑
Rooking 发表于 2021-8-24 15:26
给你贴一张图 然后直接登录就可以了 但是不知道是不是视频有问题 还是怎么我就听到了2句话就完了
这个视频长度为4:52判断7.X是因为这个帖子
https://www.52pojie.cn/thread-211131-1-1.html
帖子说了方法,我实操有点问题
Rooking 发表于 2021-8-24 15:26
给你贴一张图 然后直接登录就可以了 但是不知道是不是视频有问题 还是怎么我就听到了2句话就完了
是修改这个地址的指令还是什么? 爱我你怕了吗 发表于 2021-8-24 20:01
是修改这个地址的指令还是什么?
图 都给你了name清楚 CE附加进程天极爱地址 修改2字节数据 然后点登录就行了
爱我你怕了吗 发表于 2021-8-24 17:54
不是9.36,我逆过9.36和10.1,
判断为7.x是因为在吾爱的一个帖子,程序的大部分特征都能对的上,
发帖时间 ...
这个并不是7.x 看那个dll的时间 就知道了