我有一个受 CrypKey 保护的目标应用程序。当我尝试附加到 OllyDbg 和 Ida Pro 中的应用程序时,我收到无法附加到此进程的消息。
坏消息是,我想在执行 Crypkey 加载程序后解压主 exe,但是在修补主 exe 和加载程序以获得加载程序代码末尾的无限循环后,我无法附加到主 exe 并到达 OEP .
你知道我怎么或者为什么不能攻击吗?在这种情况下一个好的解决方案?
非常感谢你
见下图:
Ollydbg 和 IDA Pro 无法附加到进程
逆向工程
艾达
ollydbg
反调试
2021-06-29 19:58:42
2个回答
调试加载器。
在(或如果需要)上设置断点CreateProcess ZwCreateProcess
当断点被击中时,修改堆栈上的进程创建标志以包含CREATE_SUSPENDED. 确保删除任何与调试相关的标志,例如DEBUG_ONLY_THIS_PROCESS等。
单步完成CreateProcess呼叫。此时,子进程将被创建为处于挂起状态。现在您应该能够将调试器附加到此。
使用像ScyllaHide这样支持“kill anti-attach”的反反调试插件