问题描述
哎!搞了N多天也没搞明白OllyBone到底是怎么运行的!!!疑惑一:在OllyBone.dll中有加载OllyBone.sys驱动的代码,按理说,在启动OD的时候,OD系统会自动扫面Plugin文件夹,逐一扫描加载里面的插件(.dll),在加载OllyBone.dll插件的时候,它里面的程序按照其功能会加载NT式驱动OllyBone.sys,可它就是没有正常加载。在对内存中的段设置setbreak_on_execute断点的时候会出现错误如下:在加载文件前,用户DriverMonitor或者自己写的驱动加载程序先将驱动加载,则就不会出现此错误,不懂这是为什么?疑惑二:就算是提前加载了驱动OllyBone.sys,成功设置了设置setbreak_on_execute断点,当点击F9运行按钮的时候会出现以下两种情况:1)没有响应,根本就不动。2)运行了一下,但是OD上光标还是再最初载入的那点,虚拟机运行环境变的特别卡。此时用DriverMonitor监视会发现已经成功Hook内存页,但是后面的就没有了。示例如下图:加载一个用UPX加壳的简单exe.设置break_on_execute断点。此时在monitor中可以看到,已经成功hook住内存页。此时再回到代码里,点击F9执行就没有反应。最下方也不会出现break_on_execute字样。
解决方案
解决方案二:
这个问题搞得我好郁闷,希望有大牛给解答下,不胜感激!
时间: 2024-09-20 08:39:50