首页
论坛
课程
招聘
[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?
2009-4-7 06:25 46889

[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?

2009-4-7 06:25
46889
StrongOD  的 Anti Anti_Attach  是怎么做到的?

有个程序,我OpenProcess 都没问题

但是只要 DebugActiveProcess ,他马上就就检测到了

ps;
没想到在一个月后的今天,为本帖居然出了个红个公告
http://bbs.pediy.com/announcement.php?f=4&a=112
实在是值得纪念的帖子

第五届安全开发者峰会(SDC 2021)10月23日上海召开!限时2.5折门票(含自助午餐1份)

收藏
点赞0
打赏
分享
最新回复 (125)
雪    币: 1835
活跃值: 活跃值 (100)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
Bughoho 活跃值 8 2009-4-7 08:38
2
0
创建远程线程执行CC
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 08:42
3
0
在对方进程中远程执行了CC

是不是还要 DebugActiveProcess  对方?
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 14:39
4
0
先去学习anti,再学习如何反anti
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 14:42
5
0
你觉得我发这个贴提问,是为了什么呢?
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-7 14:44
6
0
应该是为了增加发帖数.

不知道我回答得对不对.

如有错误.概不负责.
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 14:45
7
0
为了不劳而获。
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 14:50
8
0
新手上路,学习是不是也得有个思路与方向?

我说让风月直接将源码拿来吗? 我只是想知道如何实现从哪里下手?

如果.你不想让我而获,你完全可以视而不见,我没有任何求的意思,

大家都只是学习而已,不用这样贬低别人吧,

为什么不愿意别人站在巨人肩膀上看东西呢?
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 14:51
9
0
你怎么研究?方法2楼说了,虽然不全正确,不过你3楼回答表明你完全看不懂,所以叫你先学如何anti。
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 14:56
10
0
我知道 写入 CC 是产生异常,

而且以我自己的所用过的,只会用 DebugActiveProcess 去附加对方进程,

但是,我自己觉得目标是禁止我 DebugActiveProcess , 所以产生了一个问题

所以.我于次回复,是不是用 DebugActiveProcess  来接受异常处理?
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 15:00
11
0
DebugActiveProcess在你自己的进程里,它怎么anti?它anti的东西都在自己进程里。
说了半天,anti原理你没搞懂,无法交流。
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 15:09
12
0
我发这个贴,不是说我懂了什么东西,我这是在求助,

我当然承认我没搞懂,要不然.也不会到求助这么低级了,让人看不起了,

我现在的理解是,我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的,

就好像检测很多程序,不让OpenProcess 一样,

可能,我理解有误, 所以求助求助! 要不然论坛用来干嘛?
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 15:11
13
0
不知道这个无法交流是从哪分析来的?

你求学时,不懂时,别人都这么说你的?
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 15:17
14
0
回楼上,实事是,我学习的时候没人教我,也没怎么问别人.你去人肉我好了.

至于你的问题,既然你这么理解
我 DebugActiveProcess 目标,目标会检测到 DebugActiveProcess 的ID 是不是他的,

只能说这个思路是错的,论坛上那么多介绍anti附加的文章,你一篇都没看过?
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 15:25
15
0
首先我是很敬佩你这种精神, 要不然也不会有 精华 3 了,

你不怎么问别人,还请您高抬贵手,放过我们这些新人,就让我们多问问,

可能我们比较菜.还希望您多多包涵,
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-7 15:32
16
0
学习.学习.学习
雪    币: 1632
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
达文西 活跃值 2009-4-7 15:33
17
0
nooby是天才级的,不要要求别人也都是这个级别嘛。
看得出来,楼主是来学习的。
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 15:37
18
0
我用baidu 搜索 ANTI  附加 OD ,没有找到个像样的,

只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的,

所以,最后就发个贴,看看应该往哪看了
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 15:37
19
0
楼上的楼上,anti attach不是检查调试器。

我个人认为你学习态度不对,那个
只找到了一个海风写的,反Attach 的,是破解 ntdll.dll 的那个函数的,
你看懂了么?看懂了你就不问了。
如果看不懂,那么说说哪里看不懂,把你看懂的写出来,起码也是研究过的。

DbgUiRemoteBreakin, DbgBreakPoint, DbgUserBreakPoint, PEB
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-7 15:45
20
0
我的学习态度就是玩.这也有错.
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 15:45
21
0
我当然知道牛人特别多,而且.我知道.我现在理解上有很多错误,

先不说ntdll.dll 的函数,  我只是对,外壳版主回复的:"创建远程线程执行CC" ,    我目前的水平,知道的,如果执行了 CC , 我必须要捕获这个异常,

我能想到的,就只有用 DebugActiveProcess ()去进行这个工作,

我不知道态度哪里不对了?

可能.我对你的那个回复不满吧!!
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-7 15:47
22
0
我对他的回复也很不满.
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-7 15:50
23
0
日了,只能膜拜你的想象力了。
DebugActiveProcess是必要的,否则调试器收不到消息。
但是附加的时候系统会做一系列事情,最后还要在目标进程里断下来,这个过程有一部分在目标进程里完成,也就是有可以被anti的地方。至于哪里anti了,往上翻,ctrl+a看全图。
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-7 15:52
24
0
en....f^kk
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-4-7 16:01
25
0
所以这里有一个问题了, 对方是不让你 DebugActiveProcess 的,

你只要调用 DebugActiveProcess 目标ID,他马上 退出

我的程序没可能执行到 WaitForDebugEvent

可是.海风的 插件不知道做了什么事,直接就 无视这个 ,直接 DebugActiveProcess 目标,
游客
登录 | 注册 方可回帖
返回