|
[求助]CD防拷, 新人求助
印象中Alcohol选项里面有个忽略读取错误的,说不定就是针对这个的。。。 |
|
[求助]PE区段表中VirtualAddress是否必须是连续的?
我看过了,notepad是连续的,只是没有对齐而已,顶楼我就说了没对齐的几个字节不算。 名称 VOffset VSize .text 00001000 00007748 .data 00009000 00001BA8 .rsrc 0000B000 00007F20 虚拟区段对齐00001000: 00001000 + 00007748 = 00008748,对齐后00009000 00009000 + 00001BA8 = 0000ABA8,对齐后0000B000 0000B000 + 00007F20 = 00012F20,对齐后00013000 00013000与PE头标志的镜像大小相同。 估计区段中间确实不能存在缺断的。 |
|
[求助]VMP1.8连系统断点都断不下来,什么原理?
找到原因了,是OD的BUG,下了一个海风放出的DBGHELP.DLL替换了一下,现在可以加载了。 |
|
|
|
[求助]VMP1.8连系统断点都断不下来,什么原理?
我用OD加载OD,再用被加载的OD去加载VMP加壳的exe,结果发现OD启动exe后,出了一个异常就挂了,而不是被TerminateProcess之类的强行关闭的,难道是VMP壳发现了OD的一个BUG,加载特殊构造的Exe后出错退出。 |
|
[求助]VMP1.8连系统断点都断不下来,什么原理?
并不是要研究VMP脱壳,这东西估计能脱的估计全世界也没几个,只是很好奇它反调试的原理。 |
|
[求助]学习驱动遇到不能声明变量的问题
你是不是C++写多了,写C时忘了把声明放到函数头部? |
|
[求助]怎么取得本sys的内存范围?
根据esp来判断吗?问题是esp多少才是合法的似乎不好判断,调用到自己写的sys的,未必只有自己本身的几个线程吧? |
|
[求助]怎么取得本sys的内存范围?
刚刚又想到一个问题,如果是调用内核API后出了内存异常,那么这个方法就不管用了,不过这个似乎没有根治的方法。。。 |
|
[求助]怎么取得本sys的内存范围?
呃,不好意思,DRIVER_OBJECT::DriverStart和DRIVER_OBJECT::DriverSize很明确了。。。 |
|
[求助]怎么取得本sys的内存范围?
对啊,现在我就是不知道自己的sys到底占了多大内存啊,DRIVER_OBJECT里面有哪个字段指明自己占的是多少到多少之间么? |
|
[求助]驱动的内存访问异常能否捕获?
已经搞定了,原来那8个字节中,是7610四个字节构成中断入口地址,而不是原先想的7654构成中断入口地址。 |
|
[求助]驱动的内存访问异常能否捕获?
我是修改表中0E对应的内容,不管怎样也不可能傻到去修改表的基址吧? HOOK的方法大体分为两种,一种是inline Hook就是头部加jmp指令,不过这里并不合适,另一种就是类似IAT HOOK的,修改存放入口的内存地址的内容。我现在就是期望用后一种方法…… 不过一个中断对应8个字节,我只知道后4个字节存放入口,前4个字节不知道干什么的。 |
|
[求助]驱动的内存访问异常能否捕获?
我用sidt指令得到了中断描述表,跟踪调试了一下,发现访问0地址和0xffffffd0地址的区别,仅在于一开始进入时CR2这个寄存器,这个寄存器保存的是非法访问地址。继续跟踪下去,下面会有一个地方将此地址与MmSystemRangeStart比较,后者的值是0x80000000,如果小于(JB)的话,跳转到异常处理的地方,否则执行一大段不知道干什么用的代码,最后调KeBugCheckEx蓝屏。 我试着在0xffffffd0非法访问,并且在中断入口断下后,强行修改CR2的值为0,结果异常正常捕获,避免了蓝屏。那么方法应该呼之欲出了,只要修改中断描述表的入口,每次都强行修改CR2为0,在跳回原代码处,就可以解决问题。但是只要我对描述表做写入动作,就直接蓝屏,是否是哪里有内存保护呢?SOFTICE也改过这个地址,应该是可以实现的吧? |
|
|
|
[求助]驱动的内存访问异常能否捕获?
再请教一下,我不知道上哪找ICESWORD或SOFTICE处理的方法,不过我想如果知道int 0xe的中断入口的话,或许处理起来更简单,不过这个地址该如何获得呢? |
|
[求助]驱动的内存访问异常能否捕获?
所谓异常有没有被处理,实际上只是出异常后,跳到异常处理代码那里检查一下吧?如果安装了异常处理例程,就调用之,最后跳回去;如果没有安装,就调用KeBugCheck蓝屏。不知道我是否理解错了? 既然我已经借用访问0地址的异常,跳回了原代码处(已经出了try…catch),并且ebp,esp均正确(ebx、esi、edi的值不对,不过下面就是一堆pop+ret了所以暂时没影响),那么CPU还会知道曾经存在过访问ffffffd0的异常么? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值