本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 8389|回复: 6

Themida最新壳,摘掉DbgUiRemoteBreakin,停掉它的检测线程后,能附加,不能下断 [复制链接]

Rank: 2

发表于 2011-6-24 05:35:27 |显示全部楼层
摘掉DbgUiRemoteBreakin,DbgBreakPoint, DbgUserBreakPoint 的hook
停掉所有
MOV EAX,DWORD PTR SS:[ESP+4]
JMP EAX
线程

OD能附加,下断会出异常退出0x80000003。请教大牛,还有什么没有完成?

测试样本
SimpleWin32_p.zip (655 KB, 下载次数: 724)

Rank: 3Rank: 3

发表于 2011-6-24 13:49:43 |显示全部楼层
非大牛
帮顶之哈。。。

Rank: 2

发表于 2011-6-24 23:52:30 |显示全部楼层
0x80000003就是INT3的exception code吧。。。
异常没有被debugger截获。。。
吹水完毕,
同求答案= =

Rank: 2

发表于 2011-6-26 02:10:44 |显示全部楼层
NtSetInformationThread (..., ThreadHideFromDebugger, ..., ...) 已经拿下,不过还是有问题

Rank: 2

发表于 2011-6-26 02:59:39 |显示全部楼层
[quote=\"xdev\"]NtSetInformationThread (..., ThreadHideFromDebugger, ..., ...) 已经拿下,不过还是有问题[/quote]

advanced 模式的保护到此就可以过了,但是ultra模式的不行,进程还是会crash掉

Rank: 1

发表于 2012-5-13 18:32:07 |显示全部楼层
来学习

Rank: 1

发表于 2013-7-23 00:21:03 |显示全部楼层
这个不错的!学习下!
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-2-22 23:30 , Processed in 0.027777 second(s), 11 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部