- 注册时间
- 2013-4-1
- 最后登录
- 2013-7-26
- 在线时间
- 20 小时
终身VIP会员
  
- 魔鬼币
- 10134
|
TesSafe版本:1.15.0.37432,做了以下处理了,
1、处理了NtOpenProcess,NtOpenThread,NtReadVirtualMemory,NtWriteVirtualMemory,
NtCrtDebugObject,SetInfoDebugObject,DbgkpQueueMessage,DbgkpSetProcessDebugObject等HOOK.
2、处理了DebugPort清0
3、处理了硬件断点问题。
4、终止了TesSafe创建的俩个线程,终止了IoTimer和DPCtimer。
5、补充说明:
目标进程,应用层下了有7个钩子
ntdll.dll->KiUserExceptionDispatcher ,inline hook
ntdll.dll->LdrInitializeThunk,inline hook
ntdll.dll->NtCreateThread,inline hook
ntdll.dll->NtSetContextThread,inline hook
kernel32.dll->ExitProcess,inline hook
kernel32.dll->GetModuleFileNameA,inline hook
SHELL32.dll->SHLWAPI.dll:[Ordinal:486] IDT HOOK
登录前检测有这几个钩子,登录后就没有了,钩子有检测,直接工具恢复会报SFX非法。
6、目标进程是ASPack 2.12 -> Alexey Solodovnikov [Overlay]的壳,有几个线程建立在
主模块空间之外。
现在现象是:
VE能正常搜素,OD能附加但是附加一会就出现内存访问异常终止了,好像是主模块之外的那部分空间已经变非法访问了,怎么解决这问题,让OD跑起来,求大神指导........ |
|
发表于 2013-5-7 09:59:49