Ta的论坛

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-4-15 12:31: 0

[求助][求助]Hide your DebugPort in ring0 这篇帖子的疑问
非常感谢madaxian，里面有6个函数
PspCreateProcess
DbgkForwardException
DbgkExitThread
DbgkExitProcess
DbgkMapViewOfSection
DbgkUnMapViewOfSection
就上面这个六个文章里nop了，下面5个都还能找到地方，但是PspCreateProcess函数我找不到他nop了哪里？能指点下吗

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-4-1 18:03: 0

27岁了，从头学起还行么？
这段时间还对未来挺迷茫的，现在看到这么多人鼓励楼主，我也觉得充满力量，楼主加油！大家加油！我也加油！

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-20 21:35: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
还有其他的详细点的答案吗？

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-19 11:12: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
有哪位大侠能介绍下，od下断点，都用了哪些函数，经过了哪些过程吗？

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-17 13:05: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
你说是用来停掉HS的，没说什么事7号函数啊，是在什么模块里还是在哪里的一个函数，有名字没？

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-17 13:04: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
非常感谢你的回答，请问我现在下断点没效果，是什么原因呢

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-15 23:43: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
调试端口我改了，楼上说的那篇帖子我看了，以下是那帖子最后的一段，

我想再啰嗦一下，上面代码大家看到很多函数有个NOPCode，这个实际上是对付线程PS_CROSS_THREAD_FLAGS_HIDEFROMDBG的，NOP掉相关地方后，就算线程被设置为ThreadHideFromDebugger也无法阻挡调试器接收调试信息。

对于这里的我就没看明白，不知道到底哪些地方要NOP掉，有谁知道吗？谢谢

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-14 19:32: 0

[求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因
试试call 7号函数?
什么意思

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-3-12 22:35: 0

[求助]OD内存断点失效怎么处理？
有人能说得明白点吗这个问题，下不了内存断点也困扰我很久了

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-2-1 23:37: 0

求助！ windbg 出现 Memory access error in 'u DbgkpSetProcessDebugObject'
这不是od，是windbg ，od完成不了要做的事

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-27 21:53: 0

[求助]驱动中如何获取当前线程的ring3栈指针（esp）
实在太感谢楼上那位兄弟了

请问如果能不能获得这个时候ring3的eip呢，像这些东西查什么资料的，
如何知道这个esp就是由 KiGetUserModeStackAddress() 得到的

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-27 15:14: 0

[求助]驱动中如何获取当前线程的ring3栈指针（esp）
我卡这个问题几天了，不知道怎么弄，不知道切换的时候保存哪去了

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-27 02:05: 0

求助！ windbg 出现 Memory access error in 'u DbgkpSetProcessDebugObject'
还有人碰到过这个问题吗

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-27 02:04: 0

[求助] windbg call stack如何手工分析
驱动中怎么获取当前线程的ring3栈的堆栈指针esp
或者驱动中怎么调用GetThreadContext

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-26 20:58: 0

[求助] windbg call stack如何手工分析
[QUOTE=zhzhtst;751965]554K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3L8r3W2T1M7X3q4J5P5g2)9J5c8X3y4U0x3U0j5%4z5o6t1$3i4K6u0W2j5i4y4H3P5l9`.`.
ea3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2P5r3u0D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6l9&6i4K6u0r3x3o6W2Q4x3V1k6S2L8W2)9#2k6X3q4@1N6r3g2E0M7s2c8Q4y4h3k6@1L8#2)9#2k6Y4u0W2j5$3!0F1M7%4c8J5N6h3y4@1i4K6g2X3N6r3S2W2i4K6u0W2K9s2c8E0L8l9`.`.[/QUOTE]

谢谢你推荐的网址，我看了

里面没看到哪里介绍，这个时候怎么去获得ring3下的堆栈，只是说了ring0下的，
那么如果要像windbg那样还知道那些ring3下的调用才进到ring0的
应该怎么去找到这个时候的 ring3下的栈的地址呢

fyfy

雪币： 124

活跃值： (205)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

54

粉丝

0

关注

私信

fyfy 2010-1-26 19:02: 0

[求助] windbg call stack如何手工分析
谢谢，我买了这本书，我正在看

fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-4-15 12:31 0 [求助][求助]Hide your DebugPort in ring0 这篇帖子的疑问非常感谢madaxian，里面有6个函数 PspCreateProcess DbgkForwardException DbgkExitThread DbgkExitProcess DbgkMapViewOfSection DbgkUnMapViewOfSection 就上面这个六个文章里nop了，下面5个都还能找到地方，但是PspCreateProcess函数我找不到他nop了哪里？能指点下吗
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-4-1 18:03 0 27岁了，从头学起还行么？这段时间还对未来挺迷茫的，现在看到这么多人鼓励楼主，我也觉得充满力量，楼主加油！大家加油！我也加油！
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-20 21:35 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因还有其他的详细点的答案吗？
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-19 11:12 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因有哪位大侠能介绍下，od下断点，都用了哪些函数，经过了哪些过程吗？
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-17 13:05 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因你说是用来停掉HS的，没说什么事7号函数啊，是在什么模块里还是在哪里的一个函数，有名字没？
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-17 13:04 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因非常感谢你的回答，请问我现在下断点没效果，是什么原因呢
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-15 23:43 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因调试端口我改了，楼上说的那篇帖子我看了，以下是那帖子最后的一段，我想再啰嗦一下，上面代码大家看到很多函数有个NOPCode，这个实际上是对付线程PS_CROSS_THREAD_FLAGS_HIDEFROMDBG的，NOP掉相关地方后，就算线程被设置为ThreadHideFromDebugger也无法阻挡调试器接收调试信息。对于这里的我就没看明白，不知道到底哪些地方要NOP掉，有谁知道吗？谢谢
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-14 19:32 0 [求助]请问hs这个保护，可以附加了，但是下断点没作用是什么原因试试call 7号函数? 什么意思
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-3-12 22:35 0 [求助]OD内存断点失效怎么处理？有人能说得明白点吗这个问题，下不了内存断点也困扰我很久了
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-2-1 23:37 0 求助！ windbg 出现 Memory access error in 'u DbgkpSetProcessDebugObject' 这不是od，是windbg ，od完成不了要做的事
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-27 21:53 0 [求助]驱动中如何获取当前线程的ring3栈指针（esp）实在太感谢楼上那位兄弟了请问如果能不能获得这个时候ring3的eip呢，像这些东西查什么资料的，如何知道这个esp就是由 KiGetUserModeStackAddress() 得到的
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-27 15:14 0 [求助]驱动中如何获取当前线程的ring3栈指针（esp）我卡这个问题几天了，不知道怎么弄，不知道切换的时候保存哪去了
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-27 02:05 0 求助！ windbg 出现 Memory access error in 'u DbgkpSetProcessDebugObject' 还有人碰到过这个问题吗
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-27 02:04 0 [求助] windbg call stack如何手工分析驱动中怎么获取当前线程的ring3栈的堆栈指针esp 或者驱动中怎么调用GetThreadContext
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-26 20:58 0 [求助] windbg call stack如何手工分析 [QUOTE=zhzhtst;751965]554K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3L8r3W2T1M7X3q4J5P5g2)9J5c8X3y4U0x3U0j5%4z5o6t1$3i4K6u0W2j5i4y4H3P5l9`.`. ea3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2P5r3u0D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6l9&6i4K6u0r3x3o6W2Q4x3V1k6S2L8W2)9#2k6X3q4@1N6r3g2E0M7s2c8Q4y4h3k6@1L8#2)9#2k6Y4u0W2j5$3!0F1M7%4c8J5N6h3y4@1i4K6g2X3N6r3S2W2i4K6u0W2K9s2c8E0L8l9`.`.[/QUOTE] 谢谢你推荐的网址，我看了里面没看到哪里介绍，这个时候怎么去获得ring3下的堆栈，只是说了ring0下的，那么如果要像windbg那样还知道那些ring3下的调用才进到ring0的应该怎么去找到这个时候的 ring3下的栈的地址呢
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 2010-1-26 19:02 0 [求助] windbg call stack如何手工分析谢谢，我买了这本书，我正在看

{{ user_info.username }}