一个象棋引擎调试 EXCEPTION_ACCESS_VIOLATION 闪退求助

qq995002966 · 发表于 2022-2-12 15:32

在尝试逆向一个象棋的引擎，发现使用x64dbg调试会直接闪退，求助能正确下断点的思路

样本在这里。
链接：https://pan.baidu.com/s/1rrXMp4CBcbQzM5k8Nrn6ug
提取码：u6en

已经做过的尝试:
先用die查一下壳，发现是VMP的壳，

在x64dbg.ScyllaHide中把所有的反调试手段都打开了，并且异常忽略掉了EXCEPTION_SINGLE_STEP、EXCEPTION_ACCESS_VIOLATION，如下图所示

载入程序之后，运行了1s就直接删退了，闪退的log截图如下，看输出了 engine init 的字样，看来vmp已经把程序释放到内存里面了。

现在不知道是因为没有完全过掉反调试，还是有什么自校验的机制（自校验按理说应该不会触发吧？毕竟我没加断点，没动内存数据）。
还试了一下先把软件跑起来，然后在Attach上去，是可以的，但是加了断点之后（无论是系统调用里面的断点还是软件自己代码片段中的断点）都会让软件直接闪退，闪退的提示和上面是一样的

所以求问一下各位大佬，闪退的原因是什么？我应该怎么操作才能不让他闪退？

p紫气东来 · 发表于 2022-2-12 21:23

这个是编程的吗

qq995002966 · 发表于 2022-2-12 21:32

p紫气东来发表于 2022-2-12 21:23
这个是编程的吗

什么意思~？样本就在百度云分享里面

qaz003 · 发表于 2022-2-13 01:22

一般见到VMP我都是拖垃圾桶。。太特么磨人了

qq995002966 · 发表于 2022-2-13 14:42

qaz003 发表于 2022-2-13 01:22
一般见到VMP我都是拖垃圾桶。。太特么磨人了

哈哈，总归是有办法的吧。

p紫气东来 · 发表于 2022-2-13 21:25

qq995002966 发表于 2022-2-12 21:32
什么意思~？样本就在百度云分享里面

这个是什么作用的

qq995002966 · 发表于 2022-2-14 09:20

p紫气东来发表于 2022-2-13 21:25
这个是什么作用的

一个象棋软件的引擎，bugchess，直接百度一下就能看到。

qq995002966 · 发表于 2022-2-18 12:55

自己测试发现，直接用TitanHide 能够正常调试，看来还是内核过反调试厉害呀

tianbowen0 · 发表于 2022-2-20 11:56

楼主加油，正版是不是要联网才能用的

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 一个象棋引擎调试 EXCEPTION_ACCESS_VIOLATION 闪退求助

免费评分