KeyFC欢迎致辞,点击播放
资源、介绍、历史、Q群等新人必读
KeyFC 社区总索引		 如果你找到这个笔记本,请把它邮寄给我们的回忆
KeyFC 漂流瓶传递活动 Since 2011		  

有点唐突的帖子...(做程序的进)

[ 4334 查看 / 8 回复 ]

返回列表
发新话题 回复该主题
LOVEHINA-AVC
头像

  • - 美好宝贵的人生 -
  • 来自:
  • 性别:男
  • 生日:1986-12-12
  • 注册: 2004-02-23
  • 精华:1
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:0
  • [广东省韶关市]
2006-01-24 20:13 |只看楼主 楼主
t T
开门见山吧,以DEBUG_PROCESS权限打开目标程序并用WriteProcessMemory写断点,不经过VirtualProtectEx的页属性修改就直接写code segment,将可能引发页面保护错误吗?

以下是我在EFZ.NET中的做法,没有使用VirtualProtectEx,但在我的JP VLK XP SP2上work well.不少用户向我呈递了执行异常的报告,状况大多为目标程序在初始化后被迅速关闭,因此我想就此了解一下原因所在

@@:

  push  ecx
  mov edx,OFFSET arrayBreakPoint
  invoke  WriteProcessMemory,procinfo.hProcess,[edx + ecx * 4],ADDR Int3Code,1,NULL
  pop ecx
  inc ecx
  cmp ecx,8
  jb  @b
  invoke  WriteProcessMemory,procinfo.hProcess,0040C7BCh,ADDR DICode,1,NULL
  jmp DebugContinue


PS:由于暂时无法将做好的程序弄到网上来...so,拜托各位了m(_ _)m
PS2:昨晚试了用GPRS上网,吐血的感觉-o-
分享 转发
TOP
cheong00
头像

理昌

  • - 根性组 -
  • 来自:
  • 性别:男
  • 生日:1980-08-15
  • 注册: 2005-02-18
  • 精华:0
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:14
  • [香港]
2006-01-24 20:37 |只看该用户 2#
t T

回复:有点唐突的帖子...(做程序的进)

我想問一下你有試過不用debugger跑嗎.

根據PSDK的Documentation., 執行這API的process需要PROCESS_VM_WRITE和PROCESS_VM_OPERATION屬性. 在debugger下跑的話, 恐怕會被繼承下來... (這兩個屬性可以在OpenProcess()時設定)

P.S.: 用GPRS上網不單止慢, 還頗貴的... 因此從來不用... :P
TOP
LOVEHINA-AVC
头像

  • - 美好宝贵的人生 -
  • 来自:
  • 性别:男
  • 生日:1986-12-12
  • 注册: 2004-02-23
  • 精华:1
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:0
  • [广东省韶关市]
2006-01-24 20:45 |只看楼主 3#
t T

回复:有点唐突的帖子...(做程序的进)

当然,不用DEBUGGER的话就什么问题也没有,我的程序是一个简单的DEBUGGER

照理DEBUGGER应该是默认全权开放的.一定有一些地方没有做对,否则OD这些为什么就可以正常使用呢
TOP
cheong00
头像

理昌

  • - 根性组 -
  • 来自:
  • 性别:男
  • 生日:1980-08-15
  • 注册: 2005-02-18
  • 精华:0
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:14
  • [香港]
2006-01-24 20:51 |只看该用户 4#
t T

回复:有点唐突的帖子...(做程序的进)

以下引用LOVEHINA-AVC在2006-1-24 20:45:15的发言:
当然,不用DEBUGGER的话就什么问题也没有,我的程序是一个简单的DEBUGGER

照理DEBUGGER应该是默认全权开放的.一定有一些地方没有做对,否则OD这些为什么就可以正常使用呢

你是用CreatProcess(), OpenProcess()還是AttachProcess()開的? 就這一段code很難看出甚麼...
TOP
Prz
头像

千砂与美纱的神隐

  • - 根性组 -
  • 来自:国立万年小学校
  • 人家是女孩子的说
  • 生日:2003-06-01
  • 注册: 2002-09-18
  • 精华:15
  • 学分:0 个
  • 好人卡:40 张
  • 好感度:550
  • [魔都]
2006-01-25 00:39 |只看该用户 5#
t T

回复:有点唐突的帖子...(做程序的进)

以下引用LOVEHINA-AVC在2006-1-24 20:13:40的发言:
开门见山吧,以DEBUG_PROCESS权限打开目标程序并用WriteProcessMemory写断点,不经过VirtualProtectEx的页属性修改就直接写code segment,将可能引发页面保护错误吗?


理论上说,应该会引发错误。但是可能不是100%在所有机器上都引发。如同1楼说的,在加载Debugger后运行的话,可能Debugger已经作了修改属性或者捕获了这个Exception。

曾经看过有一个强人做的从内存直接加载DLL文件,就有用户反映需要在某些个地方更改页面保护属性否则会出错,估计是和楼主一样的情况。
飛べない翼に、意味はあるんでしょうか?
TOP
Rinrin
头像

  • - 永远光辉的季节 -
  • 来自:
  • 性别:男
  • 生日:2004-09-03
  • 注册: 2004-09-03
  • 精华:0
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:0
  • [安徽省合肥市巢湖市]
2006-01-25 09:48 |只看该用户 6#
t T

回复:有点唐突的帖子...(做程序的进)

以下引用LOVEHINA-AVC在2006-1-24 20:13:40的发言:
开门见山吧,以DEBUG_PROCESS权限打开目标程序并用WriteProcessMemory写断点,不经过VirtualProtectEx的页属性修改就直接写code segment,将可能引发页面保护错误吗?

以下是我在EFZ.NET中的做法,没有使用VirtualProtectEx,但在我的JP VLK XP SP2上work well.不少用户向我呈递了执行异常的报告,状况大多为目标程序在初始化后被迅速关闭,因此我想就此了解一下原因所在

@@:

  push  ecx
  mov edx,OFFSET arrayBreakPoint
  invoke  WriteProcessMemory,procinfo.hProcess,[edx + ecx * 4],ADDR Int3Code,1,NULL
  pop ecx
  inc ecx
  cmp ecx,8
  jb  @b
  invoke  WriteProcessMemory,procinfo.hProcess,0040C7BCh,ADDR DICode,1,NULL
  jmp DebugContinue


PS:由于暂时无法将做好的程序弄到网上来...so,拜托各位了m(_ _)m
PS2:昨晚试了用GPRS上网,吐血的感觉-o-

代码段一般是只读的
写进去会出错呀
怎么会成功呢orz....
TOP
wdx04
头像

  • - 荣誉管理组 -
  • 来自:布拉涅特斯二世号
  • 性别:男
  • 生日:1983-12-22
  • 注册: 2004-07-21
  • 精华:1
  • 学分:0 个
  • 好人卡:30 张
  • 好感度:17
  • [江苏省南京市]
管理组荣誉章
2006-01-25 10:17 |只看该用户 7#
t T

回复:有点唐突的帖子...(做程序的进)

Windows 2000/XP中WriteProcessMemory调用了NtProtectVirtualMemory来改变页的保护属性,不会出错的。Windows 9x/Me应该也用了类似的方法。
可能是写入的代码本身有问题吧,我做的CLANNAD中文第一版程序就有个很低级的错误,按说想不引起页面保护异常都难,然而在许多系统上就是不报错。
1

评分次数

    KEYFC第二届版杀 - 川澄 舞
    TOP
    LOVEHINA-AVC
    头像

    • - 美好宝贵的人生 -
    • 来自:
    • 性别:男
    • 生日:1986-12-12
    • 注册: 2004-02-23
    • 精华:1
    • 学分:0 个
    • 好人卡:30 张
    • 好感度:0
    • [广东省韶关市]
    2006-01-25 10:21 |只看楼主 8#
    t T

    回复:有点唐突的帖子...(做程序的进)

    我是没有跟过WriteProcessMemory,只是理所当然的认为Debugger不会受页面保护限制的……毕竟code segment对于程序自身来说是强制READ ONLY的,不用别名技术无法写东西进去
    TOP
    fish
    头像

    想子のサカちゃん

    • - 永远光辉的季节 -
    • 来自:
    • 人家是女孩子的说
    • 生日:1982-06-13
    • 注册: 2005-01-10
    • 精华:1
    • 学分:0 个
    • 好人卡:30 张
    • 好感度:0
    • [广东省珠海市]
    2006-01-25 15:48 |只看该用户 9#
    t T

    回复:有点唐突的帖子...(做程序的进)

    OpenProcess()打开程序时用PROCESS_ALL_ACCESS参数的时候,整个Process的内存区都可读写,
    包括code segment如果是想自己写个mini debugger来自调试的话,要确保程序只能被一个debugger在调试,
    否则的话会出错的
    -------------------------
    如果是CreateProcess()的话,试试加个CREATE_SUSPENDED参数,
    创建成功后用WriteProcessMemory()改写内存,
    改写后再用ResumeThread()来恢复进程
    http://www.rushiakan.com/bbs/UploadFile/2006-8/2006812225137123.gif
    ToHeart2 XRATED资源解包器(附源代码)
    TOP
    返回列表
    上一主题 | 下一主题