且行且远
分类: 逆向手札, 随心所记 由 ssfighter 于 2007年5月6日 发表

我快受不了我的弱智了……
今天晚上一直在pediy一款软件,觉得基本代码写的差不多的时候,调试忽然出问题了,本来不应该有错误的Process32NextW函数怎么都出不来正确结果,用Process32Next呢,出来的结果是错乱的,这可真是奇怪了,连试验了很多次都是这样,改初始条件,还是不行,ft。
无意中按F7进入kernel32.dll里面看汇编代码,发现Process32NextW的函数入口居然被改成了
xor eax, eax
retn

大分特,怪不得不干活嘛,啥都没干就出去了,当然这样了。
于是下定决心一定要找到为啥会这样,还怀疑过是API Hook,用SREng也没找到,用360安全卫士,也没说有API Hook,倒是说我电脑上有恶意软件(意外的收获^_^),杀掉还是不行,想起以前用Delphi写过一个程序,用Process32Next可以用。用OD调试这个程序,一样问题,回到Delphi下面查看汇编代码跟着调,发现竟然没有问题……
太诡异了哈,竟然只在OD里面有API Hook,重启电脑来到Vista下面,问题依旧,看来不像是病毒,那是啥原因呢?想起来电脑上除了现在用的OllyICE之外,还有很久以前用的flyODBG,用那个,进Process32NextW里面,嗯?竟然是对的……会OllyICE,删除所有的UDD,还是不行。开始怀疑是OD的插件作祟。回到OllyICE下面把插件全都移走,果然函数入口地方正确了,呵呵,向着胜利又前进了一步哈。但直到这时,我还在怀疑是插件的冲突,而不是我设置错了,于是开始排查可能冲突的插件……
猛然间!!!!!
猛然间我想到了一件事情,据说有一个插件叫HideOD,非常强大,能用各种手段隐藏OD使调试器不被检测到……我汗……赶紧打开HideOD的设置,靠,果然如此,Process32Next…….我脱壳的时候一股脑把这些选项都选上了……
受不了自己的弱智了,这种弱智错误也能犯,而且还想不到居然是哪儿有问题,折腾了两个小时,狂汗自己……找块豆腐撞死算了。

最后,截图留念,以警后人:



发表评论

昵称:  (必须)
邮件:  (必须)
网址: 
评论: