首页
论坛
专栏
课程

[求助]VMP3.X过掉检测后断点MessageBoxA不能断下

2019-10-9 23:16 666

[求助]VMP3.X过掉检测后断点MessageBoxA不能断下

2019-10-9 23:16
666
小白一枚,用OD  32位系统,调试的自己写的小程序,经过处理,不在报检测到调试器窗口,但是程序下断点断不下来,怀疑是多线程问题,不知道有没有大佬,可以帮我一下。
样本在附件里,


[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-10-10 13:05 被天书夜读_768088编辑 ,原因:
上传的附件:
最新回复 (7)
拍拖 2 2019-10-10 09:13
2
0
不要下断点在MessageBoxA的函数入口出,偏移下呢。 还有你要确认弹提示框的是VMP的还是加壳后的程序的,可能调用的不是MessageBoxA的版本。 
gamehack 2019-10-10 10:19
3
0
可能是MessageBoxW也可能是没有使用这个API,不是只有这一个API的,像DELPHI BCB这种,默认的SHOWMESSAGE,就不会调用这个API!
天书夜读_768088 2019-10-10 12:38
4
0
gamehack 可能是MessageBoxW也可能是没有使用这个API,不是只有这一个API的,像DELPHI BCB这种,默认的SHOWMESSAGE,就不会调用这个API!
我自己写的小程序,调用的就是MessageBox,A和W都试过了,偏移也试了,软 硬件断点也试过了,没有用
天书夜读_768088 2019-10-10 12:40
5
0
拍拖 不要下断点在MessageBoxA的函数入口出,偏移下呢。 还有你要确认弹提示框的是VMP的还是加壳后的程序的,可能调用的不是MessageBoxA的版本。
主程序,点击运行直接弹窗,没有断下,我下创建线程断点,可以拦截到,但是信息框已经出来了。
拍拖 2 2019-10-10 15:30
6
0
消息框弹出后点OD的暂停。然后查看“调用堆栈”视图,看下调用的是哪个MessageBox函数。 可以在MessageBox的返回代码上下断点,这样运行后点击消息框的确定就会断下来。
天书夜读_768088 2019-10-10 18:28
7
0
拍拖 消息框弹出后点OD的暂停。然后查看“调用堆栈”视图,看下调用的是哪个MessageBox函数。 可以在MessageBox的返回代码上下断点,这样运行后点击消息框的确定就会断下来。
我已经解决了,VMP程序创建了进程
游客
登录 | 注册 方可回帖
返回