TesSafe版本:1.15.0.37432,做了以下处理了,
1、处理了NtOpenProcess,NtOpenThread,NtReadVirtualMemory,NtWriteVirtualMemory,
NtCrtDebugObject,SetInfoDebugObject,DbgkpQueueMessage,DbgkpSetProcessDebugObject等HOOK.
2、处理了DebugPort清0
3、处理了硬件断点问题。
4、终止了TesSafe创建的俩个线程,终止了IoTimer和DPCtimer。
5、补充说明:
目标进程,应用层下了有7个钩子
ntdll.dll->KiUserExceptionDispatcher ,inline hook
ntdll.dll->LdrInitializeThunk,inline hook
ntdll.dll->NtCreateThread,inline hook
ntdll.dll->NtSetContextThread,inline hook
kernel32.dll->ExitProcess,inline hook
kernel32.dll->GetModuleFileNameA,inline hook
SHELL32.dll->SHLWAPI.dll:[Ordinal:486] IDT HOOK
登录前检测有这几个钩子,登录后就没有了,钩子有检测,直接工具恢复会报SFX非法。
6、目标进程是ASPack 2.12 -> Alexey Solodovnikov [Overlay]的壳,有几个线程建立在
主模块空间之外,那几个应用层Inline HOOK 都跳转到这个区域。
7、查看区段包括nsn,vmp0,reloc冒似有VMP.
现在现象是:
VE,CE都能正常搜素,OD1.10能附加但是附加一会就出现内存访问异常终止了,好像是主模块之外的那部分空间已经变非法访问了(而且主模块加载的也不完整,一用“转到地址”功能直接死掉),OD2.0f能附加,也不会出错,但获取的数据不全,模块、线程都是空的,怎么解决这问题,让OD跑起来,求大神指导,这样VMP保护的程序是否需要先脱壳再附加........
1、处理了NtOpenProcess,NtOpenThread,NtReadVirtualMemory,NtWriteVirtualMemory,
NtCrtDebugObject,SetInfoDebugObject,DbgkpQueueMessage,DbgkpSetProcessDebugObject等HOOK.
2、处理了DebugPort清0
3、处理了硬件断点问题。
4、终止了TesSafe创建的俩个线程,终止了IoTimer和DPCtimer。
5、补充说明:
目标进程,应用层下了有7个钩子
ntdll.dll->KiUserExceptionDispatcher ,inline hook
ntdll.dll->LdrInitializeThunk,inline hook
ntdll.dll->NtCreateThread,inline hook
ntdll.dll->NtSetContextThread,inline hook
kernel32.dll->ExitProcess,inline hook
kernel32.dll->GetModuleFileNameA,inline hook
SHELL32.dll->SHLWAPI.dll:[Ordinal:486] IDT HOOK
登录前检测有这几个钩子,登录后就没有了,钩子有检测,直接工具恢复会报SFX非法。
6、目标进程是ASPack 2.12 -> Alexey Solodovnikov [Overlay]的壳,有几个线程建立在
主模块空间之外,那几个应用层Inline HOOK 都跳转到这个区域。
7、查看区段包括nsn,vmp0,reloc冒似有VMP.
现在现象是:
VE,CE都能正常搜素,OD1.10能附加但是附加一会就出现内存访问异常终止了,好像是主模块之外的那部分空间已经变非法访问了(而且主模块加载的也不完整,一用“转到地址”功能直接死掉),OD2.0f能附加,也不会出错,但获取的数据不全,模块、线程都是空的,怎么解决这问题,让OD跑起来,求大神指导,这样VMP保护的程序是否需要先脱壳再附加........