|
[转帖]Ida Pro Advanced 6.0
test . |
|
[求助]WinDbg可以单机内核调试吗?
可以单机调试,但需要用到一个程序,livekd,记得是《inside windows 2000》作者写的 |
|
|
|
|
|
[求助]谁能知道这个驱动木马是怎么搞得这么厉害的?根本找不到文件!
可以研究一下filemon、regmon。 winnt架构下驱动程序可以通过内核函数载入并调用驱动程序,并且驱动程序载入内存后,可以删除硬盘上的驱动程序,但不会影响其在内存中的使用,除非reboot。 |
|
[原创]shadow ssdt学习笔记(一)(二)
ssdt在哪里?在ntoskrnl.exe中。内存中ntoskrnl.exe位置在80000000以上,直接读写不方便。 所以我以前做的时候,先读取硬盘上的ntoskrnl.exe文件,根据export table定位原始的SSDT,再用物理内存与虚拟内存映射的办法转换,得到系统中SSDT的位置,对此进行处理(rootkit检测,hook/unhook) |
|
[分享]给Ollydbg的增加实用的快捷键操作功能(4.25更新)
根据看雪的补丁代码,用delphi写了个插件,实现如下功能,在我用的原版ollydbg v1.10上测试无误
|
|
如何在IDA中找到MFC程序的消息处理函数
不必用ida,用ultraedit就行。方法如下 注意到mfc的消息列表有 PAFX_MSGMAP_ENTRY = ^AFX_MSGMAP_ENTRY; AFX_MSGMAP_ENTRY = packed record nMessage: dword; // windows中消息代号,定义在WinUser.h中 nCode: dword; // 如果nMessage是0x0111(WM_Command),nCode代表扩展消息,例如WM_Exchange等.亦定义在WinUser.h中 nID: dword; // 控件ID, 与资源部分中控件的ID一致 nLastID: dword; // = nID nSig: dword; // 含义不清楚 AFX_PMSG: dword; // 指向消息处理的具体代码的开始位置 end; 所以我们只要知道消息的类型,和发出消息的控件ID,就可以搜索找到这个数组,那么AFX_PMSG就是你需要下断的地址 基于类似的方法,vb,delphi都可以这样来找到事件的处理代码的起始位置。 我想,大部分现代编译器编译的程序也应该适用这种方法。 扩展开去,这种方法应该属于伟大的dead listing技术之一。如果有兴趣,我们能进一步解析mfc,delphi,vb等程序的结构,从而了解更多。《黑客反汇编揭密》那本书讲的基本就是dead listing技术(虽然有人认为那本书很不怎么的)。 |
|
藏好自己的 OllyDbg
还可以使用如下方法检测OD 1.父进程检测:这个检测方法很多人开始用了,网上也可以找到现成的代码;但是如果换作native api来实现呢?又为什么一定要检测父进程名为explorer.exe呢? 2.对PE文件的修改:armdillo作者曾经写过一篇文章论述了如何通过修改PE结构的某些部分来阻止OD载入的方法 3.一般来说,NT平台上作system hook大多是修改SSDT表,如果我对此作检查呢? |
|
请教加壳的一个问题
这个问题曾经也困扰我很多时间,我跟踪的结果是在某些调用的系统或mfc的dll中发生异常,初步究其原因或者是所谓“临界区被锁定”或者是“heap大小不正确”。后来我领悟到其实是dll初始化的顺序不对的关系。 你可以参考一下aspack的use windows dll loader选项的实现,就是如他那样解决。 下面2篇文章讲述的是其原理 http://comcamp.diy.myrice.com/techarticles/vc/0008.htm http://msdn.microsoft.com/msdnmag/issues/02/03/Loader/default.aspx |
|
|
|
[Q]Kernel32.dll里的Export表被重定向
我用卡巴斯基,但没有这种情况,既然只有ollydbg这样,那可能是od的插件所为 |
|
IDA.Pro.v4.8.0.847.Advanced-SSG
我在p2p网络上看到以下的版本 Ida Pro Disassembler Debugger 4.8Prerelease.iso 149M左右,不知道谁能提供下载 |
|
|
|
跟了半天themida,还真是变态啊
所得是livekd吧 |
|
[求助]softice怎样回到上一条jump指令地址
sice有back trace功能,9x下有个工具backtrace dump可以反汇编其记录 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值