精易论坛

标题: 代码如何现实CE断点不放行的效果？ [打印本页]

作者: 青春的回忆 时间: 5 天前
标题: 代码如何现实CE断点不放行的效果？
用CE 下断某个API 暂停掉不运行，请问易语言怎么写代码可以达到这种效果？

作者: wiley 时间: 5 天前
ExitWindowsEx
PoShutdownSystem
ZwShutdownSystem

可以试着去拦截这几个函数

作者: wiley 时间: 5 天前
如果要阻止调用，可以hook这个api，CE那种是INT3 Hook

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:19
如果要阻止调用，可以hook这个api，CE那种是INT3 Hook

HOOK 之后咋阻止呢

补充内容 (2025-6-29 14:23):
我试过直接头部返回不可以下断不运行就可以

作者: wiley 时间: 5 天前

青春的回忆发表于 2025-6-29 14:23
HOOK 之后咋阻止呢

补充内容 (2025-6-29 14:23):

在回调里直接返回，不执行原函数

作者: wiley 时间: 5 天前

青春的回忆发表于 2025-6-29 14:23
HOOK 之后咋阻止呢

补充内容 (2025-6-29 14:23):

那个api函数？

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:24
在回调里直接返回，不执行原函数

直接返回不行试过了

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:26
那个api函数？

RtlAdjustPrivilege 这个提权函数阻止它不然老干坏事

作者: wiley 时间: 5 天前

青春的回忆发表于 2025-6-29 14:28
直接返回不行试过了

函数头部ret 0x10

补充内容 (2025-6-29 14:36):
C2 10 00 90 90

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:35
函数头部ret 0x10

补充内容 (2025-6-29 14:36):

这样不行哦，还是能把我电脑关机了，下断他就不放行他就关不了。。

作者: wiley 时间: 5 天前

青春的回忆发表于 2025-6-29 14:37
这样不行哦，还是能把我电脑关机了，下断他就不放行他就关不了。。

关机你去处理关机函数

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:39
关机你去处理关机函数

关机前他要提权所以从这个下手

作者: wiley 时间: 5 天前

青春的回忆发表于 2025-6-29 14:42
关机前他要提权所以从这个下手

你应该去修改关机函数而不是修改这个提权函数，这个提权函数直接ret了还能关机说明进程原本就有管理员权限所以能继续执行关机函数，这里你会问问什么CE断点后他为什么能阻止不关机，那是因为下了断点把调用线程卡住了一直没有返回所以没有继续执行关机函数

作者: 菊部变暖 时间: 5 天前
你改返回还能关机下断不关机那就说明它可能用了不止一种关机方式，你下断就不会继续往下执行其他的关机方式，改返回还是会继续往下执行的

作者: 青春的回忆 时间: 5 天前

菊部变暖发表于 2025-6-29 15:36
你改返回还能关机下断不关机那就说明它可能用了不止一种关机方式，你下断就不会继续往下执行其他的关机方式 ...

对的那关机重启或者蓝屏咋个防止。

作者: 青春的回忆 时间: 5 天前

wiley 发表于 2025-6-29 14:50
ExitWindowsEx
PoShutdownSystem
ZwShutdownSystem

好像不会调用这个几个。

作者: 菊部变暖 时间: 5 天前

青春的回忆发表于 2025-6-29 15:51
对的那关机重启或者蓝屏咋个防止。

没有通用的方法，只能自己慢慢找

欢迎光临精易论坛 (https://125.confly.eu.org/)