首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于DebugPort清零 0.00雪花
发表于: 2010-9-29 09:57 1671

[旧帖] [求助]关于DebugPort清零 0.00雪花

十年寒窗 活跃值
2010-9-29 09:57
1671
小弟最近看某游戏驱动保护,一直把DebugPort清零,导致OD附加无内容。

查看了网上的一些帖子决定用HOOK DebugPort相关的函数,把DebugPort重定向到其它偏移。

基本思路是这样,但是小弟遇到这么几个问题,还请各位大哥指教:
1.我应该使用何种工具找出 与DebugPort相关的函数?
2.我如何确定这些函数已经找全了?
3.找到此类函数之后,将函数中BC偏移修改,是所有BC处的都修改,还是有选择的修改呢?
      与DebugPort相关的主要有mov,cmp, and 指令,这些都要修改吗?

请各位大哥不吝赐教,小弟感激涕零。。

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (7)
exile
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
直接修改WRK里面的结构好了
2010-9-29 10:18
0
十年寒窗
雪    币: 197
活跃值: (82)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是修改WRK,然后编译吗?请问我要是想实现的话应该看哪些方面的资料,万分感谢!!
2010-9-29 10:26
0
雪乱飞
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我想帖子的意思可能不是找到DebugPort的函数, 应该是找到那个驱动里执行清0的那段代码,然后hook

至于WRK...我差一点就想说瞎掰了 不过也不是不可以 那个进程什么结构,那本砖头不在手边没法查 ,总之就是PEB对应ring 0 下的结构,然后修改,编译

PS:此方法过于神奇,而且仅限win2003 sp1平台
2010-9-29 17:07
0
雪乱飞
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
EPROCESS
2010-9-29 17:13
0
十年寒窗
雪    币: 197
活跃值: (82)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
你好,我是想解决DebugPort清零的问题
从网上查到的资料来看 是修改与DebugPort相关的函数 将偏移BC的DebugPort定向到其它偏移,从而解决问题。
我有几个问题:
1.与DubugPort相关的函数是哪些函数?我如何得到
2.Hook驱动里边清零的那段代码是不是就是改驱动代码,要是有代码校验能够成功吗?
3.要是你有过类似的经验的话,麻烦指导小弟一下,小弟刚刚起步,还请多指教
2010-9-29 17:20
0
RAsmDbg
雪    币: 317
活跃值: (13)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
http://bbs.pediy.com/showthread.php?t=80971
把这贴子里说的全改掉后,你大概还需要自己改4,5个地方,就可以过DebugPort了,我记的一共要改18,还是19个位置~~
2010-9-29 17:30
0
十年寒窗
雪    币: 197
活跃值: (82)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢,自己需要改的地方也是在 那个帖子说的13个函数中吗?
2010-9-30 09:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//