-
-
[求助][求助]追踪的时候进sysenter里面进不去了!
-
发表于:
2010-3-17 11:24
5892
-
[求助][求助]追踪的时候进sysenter里面进不去了!
想追踪下! 机房的讯闪还原精灵 密码! 但本人能力有限 请各位有兴趣的的研究下 谢谢!
下面的是下载的 破解版的 2008 绿色版! 学校用的是安装版! 不过只要明白 它的密码原理 就可以了! 也是锻炼
自己的技术的机会!
在虚拟机里安装 设置密码 123456 堆栈里面出现 E10ADC3949BA59ABBE56E057F20F883E md5算法!
在网上流传着 直接改 004f91e2 jnz 为 jz 这方法不可以的!卸载驱动的时候会失败! 所以感觉还是 追出密码是最好
的了!
本人菜鸟 自己跟踪这个 004F91DB |. E8 60E0F8FF call 00487240
进去这个 0048724C |. FF15 609D5000 call dword ptr [509D60] ; DevInsta.HintCheckPassword
进这个 022D2CD4 FF15 ACC02D02 call dword ptr [<&KERNEL32.DeviceIoCo>; kernel32.DeviceIoControl
到这个7C80166F FF15 3810807C call dword ptr [<&ntdll.NtDeviceIoCon>; ntdll.ZwDeviceIoControlFile
7C92D288 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall
到这里没办法了 !7C92E512 0F34 sysenter
感觉吧 它比较的时候就是看堆栈处 0155f9b8 的内容是不是 为0 但到上面的时候 0155f9b8 为0000ffff 如果是正
确密码的话 F7 过 sysenter 就变成了 0 如果不是正确密码的话 里面就不是0了! 这怎么办....?
sysenter 没法跟进去了..!
网上查 说用ring0 调试器 我还不会用啊!.... 哪位干兴趣的 帮追踪后的结果解说下啊!.....谢谢!. 或者能有什么
方法 可以成功把驱动卸载掉!... 感激不尽!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
