有人有什么建议吗?
#1 楼
我不确定它是否仍然存在,但是Themida曾经有一个内核模式驱动程序组件,该组件促进了某些保护功能。它很可能安装在您的系统上并赶上了调试器。我的第一个建议是尝试使用Immunity Debugger。这是一个Olly分支,专门用于进攻性调试和漏洞利用开发,但是它可能具有足够不同的代码库和足够的内置反调试功能来提供帮助。
或者,您可以使用Cheat Engine连同其DBVM内核模式模块。它通常在游戏中作弊,但是CE实际上具有功能非常强大的调试器和一些不错的隐身功能。驱动程序组件重新实现了许多核心Windows API,例如OpenProcess。
如果内核模式驱动程序还不存在,则可能只是类似OutputDebugString技巧的原因,导致崩溃。如果目标使用TLS回调在WinMain之前执行代码,则在到达调试器之前它可能会使调试器崩溃。您可以尝试编辑Olly的选项,以使其在系统入口点而不是WinMain处中断。
评论
你设法像书一样读给我听;我实际上是在入侵流行的在线MMO MapleStory。我需要一个调试器来找到其CRC检查方法并绕开它们。我不了解DBVM模块,它像一个魅力一样工作-断点和所有功能! CE的调试器使我有些困惑,但是我的学习缓慢。谢谢谢谢谢谢,尽管如此,MS还不知道是否附加了CE。我第一次附着时发生了一件令人讨厌的事情。我BSOD了;这也发生在Olly身上。我认为这是一种反调试的方法。 BSOD消息是访问错误/段错误。
– David S.
2014年1月20日的14:00
嘿,我记得MapleStory的骇客。。。回想过去,我曾经和那些为它写过原始重力和真空骇客的人闲逛。多人游戏的设计极其糟糕。
–多项式
2014年1月20日14:47
仅因为Themida变得更好,安全性才有所提高。用CISC VM正确解压缩Themida的新版本是不可能的。您可以打开它的包装,相反,LCF-AT具有一些ODBGscript可以帮助您,但是让它运行是另一回事。 :(
– David S.
2014年1月20日下午16:54
我认为他们只是跳过了所有步骤,直接进行内存补丁和崩溃分析,以找出如何绕过其完整性检查的方法。
–多项式
2014年1月20日17:55
@Polynomial:对豁免声明是OllyDbg的分支感到好奇。 OllyDbg牙线是否在某个时候,所以可以分叉吗?
– 0xC0000022L♦
2014年1月20日18:32
#2 楼
您可以尝试TitanHide。它是x86和x64 OS的内核模式隐藏驱动程序。它具有以下功能:- ProcessDebugFlags (NtQueryInformationProcess)
- ProcessDebugPort (NtQueryInformationProcess)
- ProcessDebugObjectHandle (NtQueryInformationProcess)
- DebugObject (NtQueryObject)
- SystemKernelDebuggerInformation (NtQuerySystemInformation)
- NtClose (STATUS_INVALID_HANDLE exception)
- ThreadHideFromDebugger (NtSetInformationThread)
TitanHide是开源的,添加新的挂钩相对容易。请注意,您需要禁用PatchGuard和驱动程序签名才能使其在x64操作系统上正常工作。请在此处查看更多信息。
编辑:我想指出,不再对TitanHide进行维护,也不建议在生产环境中使用它。始终使用VM。对于简单的应用程序,我还建议使用ScyllaHide
评论
您的链接fyyre.ivory-tower.de已死。
– SIslam
16年2月13日在9:09
这是存档的链接:https://web.archive.org/web/*/fyyre.ivory-tower.de
– mrexodia
16-2-13在19:55
评论
您可以查看uberstealth并修复/调整其源代码。