查看: 695|回复: 6
OD打开游戏 附加不了 怎么回事 继续求助 急死了
阅读权限10
在线时间 小时
结帖率： (0/2)
再网上看到 OD找基址的教程 可是我自己下载了一个吾爱破J版的OD 打算调试植物大战僵尸&&但是 问题来了 用Ce找完动态地址后 然后我打开OD 然后再附加进程 可是 显示是 无法附加 不会植物大战僵尸也有游戏保护啊？？？ 求助下 新手上路 有没有同样遇到这样的问题，&&（我关掉CE&&在启动游戏 在打开OD 可以附加进去 但是&&游戏没看到了，。，，，，然后我在打开游戏 发现有2个进程 都是一样的（植物大战僵尸） 然后OD就卡了&&不知道什么问题
阅读权限89
在线时间 小时
签到天数: 2 天结帖率： (24/33)
ce附加后od是不可以附加的，把ce附加其他进程如计算器或记事本，然后在用od附加
阅读权限228
在线时间 小时
签到天数: 11 天结帖率： (2/2)
2个不能一起用
阅读权限90
在线时间 小时
签到天数: 1 天结帖率： (6/6)
沙发正解。。已经被CE占了 OD肯定附加不了
阅读权限50
在线时间 小时
进程全部结束 再来&&因为CE也是调试&&OD在调试是不可能的 进程第一个打开没响应 后面再打开也不可能进行游戏
阅读权限10
在线时间 小时
结帖率： (0/2)
进程全部结束 再来&&因为CE也是调试&&OD在调试是不可能的 进程第一个打开没响应 后面再打开也不可能进行游 ...
我把CE关了&&在打开 OD 可是 游戏不见了 我想找 那怎么找
阅读权限30
在线时间 小时
结帖率： (1/2)
是可以附加的，前提是用CE先选择其他的进程，来释放调试器。这样od就可以直接附加了。不用ce选择其他进程，那会占用调试器，导致OD附加不了。同理，od用过之后在用ce附加的话，也要od释放的。
精易论坛 - 有你更精彩 /1
诚邀成熟，稳重，和蔼，宽容的您参加
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论，本站内容均为会员发表，并不代表精易立场!
揭阳精易科技有限公司申明:我公司所有的培训课程版权归精易所有，任何人以任何方式翻录、盗版、破解本站培训课程，我们必将通过法律途径解决！
公司简介：揭阳市揭东区精易科技有限公司致力于易语言教学培训/易语言学习交流社区的建设与软件开发，多年来为中小企业编写过许许多多各式软件，并把多年积累的开发经验逐步录制成视频课程供学员学习，让学员全面系统化学习易语言编程，少走弯路，减少对相关技术的研究与摸索时间，从而加快了学习进度！
防范网络诈骗，远离网络犯罪
违法和不良信息举报电话，企业QQ： ，邮箱：@
Powered by
粤公网安备 25> CE+OD没法附加游戏进程的破解方法 来吧 别在为这烦恼了
CE+OD没法附加游戏进程的破解方法 来吧 别在为这烦恼了
huangliangc & &
发布时间： & &
浏览：178 & &
回复：0 & &
悬赏：0.0希赛币
CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了
　　CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了 其实看过 windows 核心编程那本书的人都知道 计算机编程领域 那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT　等等这些东西来限制一些如：CE　OD ASM32　这些工具调试而已 比如OD要调试一个程序进程 首先做的是2步操作 1.调用系统库中打开进程的API函数 2.创建新线程来调试程序进程. 当如果 一个游戏出现无法OD附加或者调试失败的情况,那么可以先检查下 这2个方面是否存在问题. 第一：检查SSDT表中的函数是否被修改, E语言老师 的 SSDTHOOK 深入浅出的帖子也说过,SSDT表 只是给API函数的一个指引.如果把这个表中的打开进程 API函数修改HOOK掉,那么就会导致程序无法打开进程 只有恢复它才能进行打开进程 第二：检查下游戏启动后运行进程里面的线程, 游戏进程中 分很多种线程,有些是负责连接网络的等等 检查的时候 可以自己写一些暂停线程的工具进行检测游戏进程中的各线程用途, 只要不动游戏的联网线程 和 主线程 其他线程可以进行暂停或销毁掉, 其实过游戏保护 不是必须要学习C++的,这点发现好多朋友都被外面的那些人给误导了. 首先下面是我得出来的结论： 游戏本身使用最高权限：驱动级 进行对相关的函数进行HOOK 与监视 （通常是.sys 系统驱动文件） 像这样的情况,因为游戏是以驱动级别的形式来进行保护自己的进程, 所以必须自己写个恢复HOOK相关函数的驱动文件加载,以驱动级的方式去恢复游戏驱动级的保护.普通用户级别权限是无法进行对驱动级别的程序操作的,而要自己去写恢复相关HOOK的驱动文件,目前的语言只有C++ 比较合适.所以学习C++.只是为了这个用而学,并不是说学会C++ 你就会过驱动保护,这是2码事情,因为你还要懂如何进行对API函数恢复HOOK的一些操作! 　 对这方面有些研究的都使用过　XueTr.exe 这个软件吧, 之所以普遍的游戏保护都可以被它搞定 是因为这个工具 本身就是驱动级,因为它驱动时候会加载自己的驱动.进行枚举 系统运行的进程中内核相关信息,并且以驱动级对它们操作, 包括 独立团电脑编程助手 的SSDT 恢复功能也是, 所以 如果游戏是采用 驱动级的权限去HOOK修改相关函数 来达到保护自己进程的话,那么你要解决掉它就必须以驱动级的权限去干掉恢复被HOOK的相关函数.只有平等级别的权限才能互相操作
本问题标题：
本问题地址：
温馨提示：本问题已经关闭，不能解答。
暂无合适的专家
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&OD怎么无法附加DNF了大神给个指示啊_ce吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：146,515贴子：
OD怎么无法附加DNF了大神给个指示啊
点我0元领取你的快充神器！
我之前发过帖子。自己去看。不过我的是win7
香烟瓜子 啤酒 饮料， 来脚让一下~
当你在电脑面前玩DNF，快乐的秒野猪，强化13成功，深渊出SS出粉的时候，你可知道还有很多小朋友根本买不起野猪票深渊票，好不容易攒出一张野猪票和深渊票却被图里精英怪打死，深渊眼睁睁的看着出SS粉却没复活币今天就是机会！如果你有爱心的话，请为广东十一区 开卦的女鬼剑 送点爱心吧！不管你是给5w，10w，还是只给邮1w。让他和你一样快乐！传递正能量，让世界充满爱！
我以为是开玩笑。。。。。。　　　——来自 小霸王学习机专用客户端。
贴吧热议榜
使用签名档&&
保存至快速回贴原方转自&/thread-.html
【文章标题】: 挣扎的菜鸟 - 当OD不能装载也不能附加程序时【文章作者】: justlovemm【作者邮箱】: 无【作者主页】: 无【作者QQ号】: 无【下载地址】: 自己搜索下载【保护方式】: VMP2.07【使用工具】: OD,LoadPE,CE,Exception Monitor【作者声明】: 只是感兴趣，没有其他目的。只是一个菜鸟对几年前大牛们就搞定的问题的一次练习，请大牛们无视本文。------------------------------------------------------------------------------------------------------------------------------------------前几天拿到一个程序X，用PEiD查不到任何信息，用exeinfope说是VMP2.07。于是先用OD载入，结果OD立即直接被关闭。开始认为TLS在作怪，用LoadPE，删除掉TLS，保存。再用od 载入，还是一样。下来先直接运行程序，然后用OD附加，结果OD也是立即直接被关闭。检查OD的选项，first pause是在system breakpoint处(其实自TMD利用那个浮点漏洞关闭OD以后，我的OD一直是启动时停在system breakpoint的)。打开StrongOD的选项，break On TLS也是打上了勾的。这时仔细一想，不对啊，现在的设置应该能截获TLS的运行，这说明不是TLS的问题。下来考虑是否plugin有问题，于是删除了plugin目录下的所有文件，结果还是一样。现在菜鸟有点失望了，于是开始在论坛里找关于VMP2.07的资料，无果。查找OD被关闭，基本上就2条参考意见，一个是删除plugin试试，另一个是删除掉OD目录下的dbghelp.dll文件。于是直接试第二个方法，删除掉了OD目录下修改时间为日的dbghelp.dll文件，测试，结果还是一样。于是又把system32目录下的修改时间为日的dbghelp.dll拷贝到OD目录下，其实菜鸟心里也很清楚，这和刚试过的方法没有什么不同的，不过这个时候菜鸟已经有点绝望了，所以这样明知道不会有任何作用的方法菜鸟也要去试试。结果就不说了。也许是这个时候命不好，菜鸟竟然没有搜索到海风大牛关于dbghelp.dll文件的那个原帖，如果当时看到那个帖子，直接下载帖子里的dbghelp.dll，就不会有这些问题了。接着菜鸟在UPK发了一个帖子求助，热心人很多，不过菜鸟太菜，没能搞定。下来改用CE装载，OK，可以装载。然后运行，提示发现调试器。菜鸟据此判断，此anti一定是针对OD的。不过菜鸟不会用CE调试程序，至少是不会象用OD那样去用CE调试程序。现在，菜鸟已经绝望了。以前TMD不能加载的时候，菜鸟只能等待，不过很快，大牛们就给出了解决方法，菜鸟只是照着去做就OK了。可是现在菜鸟觉得很无助，不知道去哪里寻找帮助，觉得四周一片漆黑。绝望的菜鸟只能一个人在那儿苦苦思索，过了几个小时，菜鸟突然想到一个方法，可以用OD来调试OD，然后用被调试的OD去装载程序X，这样应该就能知道OD是怎么被关闭的了。菜鸟当时心里还有点激动，心想，也许一个新的anti OD的方法就要让本菜鸟给搞定了，哈哈。立即动手，用OllyICE加载一个OllyDbg，用OllyDbg加载程序X，OllyDbg立即被关闭，去OllyICE中查看OllyDbg退出时的栈，没有得到任何有用的线索。再试，用OllyICE加载一个OllyDbg，然后在CreateProcessA和ResumeThread处下断，用OllyDbg加载程序X，断在CreateProcessA处，F8过去，OllyDbg正常，再Shift+F9，断到ResumeThread处，再F8过去，然后调出任务管理器，看到进程X已经有一点CPU的占用率了，这时OllyDbg还未被关闭，再Shift+F9，OllyDbg直接被关闭，查看退出的栈，还是没有任何线索。这时候先推理到，OllyDbg当时是一被调试的进程，除了调试进程以外，其它进程是无法关闭OllyDbg的，菜鸟猜想是否给OllyDbg窗口发送了WM_QUIT或者WM_CLOSE消息。于是在OD中查找GetMessage，未发现，查找PeekMessage，找到好几个，根据传入的消息的上下限，找到了OllyDbg的窗口过程中使用的PeekMessage，在PeekMessage返回后的一个地方下条件断点，当消息ID是WM_QUIT或者WM_CLOSE时触发断点。再次载入程序X，OllyDbg同样被关掉，并未触发任何条件断点。这样就排除了程序X发送消息给OllyDbug窗口的可能性。这时菜鸟认定OllyDbg在装入程序X的时候本身产生了什么不可捕获的异常，导致程序直接被关闭了。问题是怎么才能知道这个异常发生在什么地方呢？此时的菜鸟又一次陷入了绝望，又觉得四周一片漆黑。在黑暗中孤独的思索了几个小时后，菜鸟突然想起以前用过的Exception Monitor，是M$的产品，当时是为了调试服务进程而推出的东东。用这个东西能捕获最后一次异常发生时的线程信息，包括各个寄存器和栈数据。上网搜索，还是命不好，竟然找不到MS的Exception Monitor的下载地点。不过，也意外的发现还有好几个类似的产品，一个叫EMon.exe的还是开源的，于是下载了这个EMon.exe。打开OllyDbg，用EMon.exe去attach，在进程列表里没有发现OllyDbg。呵呵，是StrongOD隐藏了OllyDbg进程，删除掉SOD，OK，用EMon.exe attach OllyDbg，再用OllyDbg载入程序X，然后看到EMon.exe的Log窗口哗哗哗的闪，计算机不停的叫"叭嗒叭嗒"，过了有2、3分钟，停了下来，OllyDbg已经不见踪影了。EMon.exe最后的Log是这样的:
下午 04:00:09: Process terminated with exit code
下午 04:00:09: End of Process: 4076 - OllyDBG.EXE
下午 04:00:09: End of Process: 2380 - X.exe
　　接着往上看，最后出错信息是这样的：
下午 04:00:09: ACCESS_VIOLATION at address 7C92EDDD
** The thread tried to read from or write to a virtual address
for which it does not have the appropriate access.
** Thread ID=00000F34
** Access violation writing address 00030FFC
** First chance
** Register Dump:
EAX=0000000C
EBX=7C920000 : FFFF
ECX=7C930833 :
FFFFFF90 95C5FEFF 95C6077C
EDI=7C9237D8 : 01
ESI=7C920000 : FFFF
ESP= : 7C00
EBP= : C9000
EIP=7C92EDDD : 458BF8 FC458B50 FFFC45C7
** Stack Dump:
C920000 : FFFF
031464 : C2B060
C92EE18 : 83EC8B55 565308EC 8BFCC5D
C9307F5 : 4D8BC033 74C98508 FFFB74
0003101C: 7C930838 : FFFFFFFF 7C95C5FE 7C95C607
031030 : CC00001
C93086E : 840FC085 000025BC BF98166
C920000 : FFFF
: C18 00E8DAA0
03104C : C9000 0003107C
C9579F0 : 840FC085
85FC4D8B CD840FC9
C920000 : FFFF
** Disassembly listing
7C92EDDD: 56
7C92EDDE: 57
7C92EDDF: 8B45F8
eax, [ebp-0x08]
7C92EDE2: 8965E8
[ebp-0x18], esp
7C92EDE5: 50
7C92EDE6: 8B45FC
eax, [ebp-0x04]
7C92EDE9: C745FCFFFFFFFF
[ebp-0x04], 0xFFFFFFFF
7C92EDF0: 8945F8
[ebp-0x08], eax
7C92EDF3: 8D45F0
eax, [ebp-0x10]
7C92EDF6: 64A
** End of exception report
　　7C92EDDD是在ntdll中的，菜鸟不知道这个是怎么调用来的。不过在OllyICE中看了一下fs:[8],是，而上面的出错信息的ESP也是这个值，这说明线程栈已经已经用光了，程序无法再运行了。再往上看，下来的出错信息好像都一样，都是下面这个样子的：
下午 04:00:09: ACCESS_VIOLATION at address 32C21FAE
** The thread tried to read from or write to a virtual address
for which it does not have the appropriate access.
** Thread ID=00000F34
** Access violation reading address 32C21FAE
** First chance
** Register Dump:
ECX=32C21FAE
EDX=7C9237D8 : 01
ESP= : 7C9237BF 2B060
EBP= : C938
EIP=32C21FAE
** Stack Dump:
C9237BF : 8F E58B0000
031538 : C00 32C21FAE
12B060 : C21FAE 1D2F676B ABC87504
03150C : 00
031834 : C2B060
C9237D8 : 01
: C21FAE 1D2F676B ABC87504
031520 : C92EAFA 31554
C92378B : C25B5E5F 8B090FF 8B559090
031538 : C00 32C21FAE
: C21FAE 1D2F676B ABC87504
031554 : 00
03150C : 00
** End of exception report
　　每次出错的地址都是32C21FAE，用上面的OllyICE调试OllyDbg并断在ResumeThread之后，查看，这个地址是空的。菜鸟觉得很怪异。继续向上看，都是32C21FAE。于是直接翻到到最上面的Log，才发现只有第一个不是32C21FAE，第一个出错的地址是68D808BF，信息如下：
下午 03:57:58: ACCESS_VIOLATION at address 68D808BF
** The thread tried to read from or write to a virtual address
for which it does not have the appropriate access.
** Thread ID=00000F34
** Access violation reading address 8C699B73
** First chance
** Register Dump:
EAX=8C699B73
EBX=023FBF58 : 00
ECX=8C291638
EDX=73A90925
EDI=023F9160 : 00
ESI=023FA090 : 023FAA48 00
ESP= : 023F0 023FA090 023FC3E4
EBP=0012ACAC : A1A8ECCE E2B7A856 9C91972D C09558D3
EIP=68D808BF : 0C88088A CD38F675 FFFFF7EC
** Stack Dump:
3F9160 : 00
3FA090 : 023FAA48 00
0012A46C: 023FC3E4 : 000A6 A000F
3FC616 : 45D
3FBF58 : 00
3FBF80 : 001F0C 0D778
0012A47C: 023FBF58 : 00
343158 : 64
400AF8 : 00
0012A49C: F11FC1BF
** Disassembly listing
68D808BF: 8A08
68D808C1: 880C02
[edx+eax], cl
68D808C4: 40
68D808C5: 84C9
68D808C7: 75F6
68D808C9: 388DECF7FFFF
68D808CF: 7473
68D808D1: F02
0x68DF00002
68D808D8: 8D85ECF7FFFF
eax, [ebp-0x]
68D808DE: 8D5001
edx, [eax+0x01]
** End of exception report
　　在OllyICE中查看了一下68D808BF，在DbgHelp.dll中。OK，重新用OllyICE装载OllyDbg，在68D808BF处下断，然后装载程序X，成功断下。在数据窗口跳到eax，eax地址有效，看了一下代码，这个应该是一个字符串拷贝的循环，删除68D808BF处的断点，在循环结束后的68D808C9下断，F9正常运行到68D808C9，然后再F9，就跑飞了。为了捕获异常不让OllyDbg跑飞，再重新来一次，在68D808BF断下后，取消断点，跳到fs:[0]，对当前SEH的handler 68D90888 下硬件断点，F9，还是跑飞了。跑飞的时候好像还提示了那个不存在的地址32C21FAE，一看log，是"32C21FAE|访问违规: 正在执行 [32C21FAE]"，很奇怪，为什么在跳到这个不存在的地址之前没有去执行SEH的hander 68D90888。无奈，再来，再次断到68D808BF处，F9了几次，每次都又断到68D808BF，这时查看了一下后面一行代码中的edx+eax竟然等于12A498，哈哈字符串拷贝的目标地址在当前栈上，在数据窗口跳到EAX()，看一下，没有发现00，二进制搜索00，在02363D1E，原来EAX指向的字符串长达0xC1C，就是3100字节长，而根据前面的代码68D808B7& & 8D95 ECF7FFFF& &lea& &&&edx, dword ptr [ebp-814]edx在栈上最大的可用空间也只能是0x814，这肯定是把线程的栈数据给覆盖了。重新测试一下，当断到68D808BF处时，在数据窗口跳去fs:[0]，然后F4到68D808C9，这时数据窗口的数据已经完全改变了，就是说SEH的链和hander已经被覆盖了，而hander就是被修改为那个不存在的32C21FAE。这时，菜鸟已经明白了，那个字符串拷贝的循环应该就是一个inline化的strcpy，由于没有限制拷贝长度，造成栈数据被覆盖掉了，而新生成的Exception Handler是无效的，结果就又触发了新的异常，进入了一个异常循环，直到栈被用光，OD就结束了，连错误提示都没有，让人以为OD是被正常关闭了。搞清楚这个以后，菜鸟又在想，这个分明就是一个异常，为什么用OllyICE调试OllyDbg时没有捕获这个异常呢，查看了一下OD的设置，发现是忽略了非法的内存访问异常。设置成不忽略非法的内存访问，用OllyICE装载OllyDbg，然后OllyDbg装载程序X，在OllyICE中就断到了68D808BF，OK，确定了就是这个异常。分析到这一步，本来应该再分析一下DbgHelp.dll，看看是在拷贝什么信息的时候造成的栈溢出，可是这个时候菜鸟又去搜索了一下DbgHelp.dll，找到了海风大牛的那个帖子，下载了那个DbgHelp.dll，用OD加载程序X，正常的停到了系统入口。这时菜鸟才发现自己的确成不了大牛，因为菜鸟这个时候已经不愿意再去分析DbgHelp.dll了。最后再说一下，菜鸟因为自己在OD不能装载和附加时，经过思考发现了如何去寻找不能装载和附加的方法，菜鸟自己非常高兴，所以写了此文，为自己庆贺一下！对DbgHelp.dll溢出时的分析在25楼，请大家指正。
阅读(...) 评论()我就砸想CE的调试器和OD的附加怎么过TP
妈的回来就不能玩了_ce吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：146,515贴子：
我就砸想CE的调试器和OD的附加怎么过TP
妈的回来就不能玩了
点我0元领取你的快充神器！
新的一年，新的开始，我要找个女朋友
隐藏着黑暗力量的魅族啊，在我的楼下显示你真正的力量，跟你定下约定的层主命令你，封印解除！ 出来吧！狗儿子，魅蓝PRO 6！！！
前排帮顶贴，顺便遛遛这只喷子狗
贴吧热议榜
使用签名档&&
保存至快速回贴}