【调试求助】恢复线程后程序终止
小菜在调试一个易程序的时候,其中遇到一个联网CALL,如下图
单步F8到这里就走不动了,进CALL后发现有网址字符串。
所以我来到T界面,恢复所有线程,然后程序就直接崩溃了
这中间我也尝试过下退出断点,断不下来,还是直接终止。
但是当我把断点下在这个CALL的下一行,程序是可以正常运行的。
调试阶段我并没有对程序做任何的修改,仅仅F8出现这个问题。
不知道是不是某种反调试,或者是OD的问题(我也换了几个OD,都不行)
程序SE的壳,默认加壳那种
有没有过来人遇到过类似的问题?帮解答一下吧
在此先谢谢了
为了避免求破,程序就不发了。
SE跑起来。T里面能看到一个挂起的线程。右键停止运行他。就好了
在0x51afb6设置异常,执行eip跳转到0x51afbb 都能玩se了 boot 发表于 2023-5-19 22:10
在0x51afb6设置异常,执行eip跳转到0x51afbb
boot老师我没太明白您说的意思。
我是F8跟到这里,还没来得及分析,结果程序就像是“假死”了一样。
我既无法点击,也无法F7F8单步过,然而程序状态写的还是“运行”
如果要是一开始就知道这个call有异常,完全可以分析完参数后再它的下一行下断F9运行过去,就能得到返回值。这样是不是就不需要设置异常了。。。
这种办法缺点就是非常耗时。。。遇到这种CALL就得来一遍 xia先生 发表于 2023-5-20 11:08
SE跑起来。T里面能看到一个挂起的线程。右键停止运行他。就好了
亲测这个办法可行!感谢xia老师的指点,骑士论坛见识过您的威名,谢谢您了。
xia老师还想请教一下这是什么原因导致的呀?第一次遇到这种状况 DavidLiu 发表于 2023-5-20 12:21
亲测这个办法可行!感谢xia老师的指点,骑士论坛见识过您的威名,谢谢您了。
xia老师还想请教一下这是什 ...
见多了就懂了。这种东西很简单的。就是创建一个线程。然后挂起他。这个线程里做了关闭进程的操作。如果你恢复 这个线程就GG。反调试中常见的操作而已 xia先生 发表于 2023-5-21 19:27
见多了就懂了。这种东西很简单的。就是创建一个线程。然后挂起他。这个线程里做了关闭进程的操作。如果你 ...
感谢xia老师的指点,受教了。您可能觉得比较简单,于我而言,不会就是不会,感恩! xia先生 发表于 2023-5-21 19:27
见多了就懂了。这种东西很简单的。就是创建一个线程。然后挂起他。这个线程里做了关闭进程的操作。如果你 ...
大佬,请问一下,我看作者有提到 “这中间我也尝试过下退出断点,断不下来,还是直接终止。
”,如果线程里面做了关闭进程的操作,为什么断不下来呢
页:
[1]