-
-
[分享]研究某保护,不能用普通od附加的原因
-
发表于:
2012-3-23 16:21
4620
-
现象:
用普通od附加,刚附加玩,就会出现异常,通过查阅相关文章,发现可能是DbgUiRemoteBreakin 被动了手脚。
验证结果:
动手脚的DbgUiRemoteBreakin:
02901E13 > 6A 08 push 0x8
02901E15 68 601E977C push 0x7C971E60
02901E1A E8 ACCAFBFF call 4c866df0.028BE8CB //这里!!
02901E1F 64:A1 18000000 mov eax,dword ptr fs:[0x18]
02901E25 8B40 30 mov eax,dword ptr ds:[eax+0x30]
正常的:
7C971E13 > 6A 08 push 0x8
7C971E15 68 601E977C push ntdll.7C971E60
7C971E1A E8 ACCAFBFF call ntdll._SEH_prolog
7C971E1F 64:A1 18000000 mov eax,dword ptr fs:[0x18]
7C971E25 8B40 30 mov eax,dword ptr ds:[eax+0x30]
对比发现,异常模块地址是 02901E13, 显然不是正常的 ntdll所在某块。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
