[求助]如何调试ZwQueueApcThread设置的回调函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 2 楼暂时找到了一个方法，能够断在APCProc函数的入口。不过并不是100%有效。偶尔还会跑飞。因为OD无法附加挂起状态的进程。所以先用ICESWORD读取目标进程的入口代码与APCProc入口代码，然后修改成死循环 EB FE 接着在源程序里面F8步过ZwResumeThread 打开一个新的OD 附加目标进程。对入口与APCProc入口下硬件执行断点。 Ctrl+E 将对应的入口处的死循环改回去。然后F9 稍等一阵就会中断在APCProc入口。 ========================== 不过因为目标进程本身就是AlertAble状态，所以可以直接激活APCProc回调函数。但是对于那些需要激活AlertAble状态的进程，一味的等待是没有意义的。应该如何处理？我在猜想WinDBG是否可以在本地内核模式的环境下更改目标进程的AlertAble状态。但是具体怎么实现就不知道了。继续期待大虾指点。 2010-11-19 04:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 3 楼继续期待大虾指点 2010-11-24 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 2 楼暂时找到了一个方法，能够断在APCProc函数的入口。不过并不是100%有效。偶尔还会跑飞。因为OD无法附加挂起状态的进程。所以先用ICESWORD读取目标进程的入口代码与APCProc入口代码，然后修改成死循环 EB FE 接着在源程序里面F8步过ZwResumeThread 打开一个新的OD 附加目标进程。对入口与APCProc入口下硬件执行断点。 Ctrl+E 将对应的入口处的死循环改回去。然后F9 稍等一阵就会中断在APCProc入口。 ========================== 不过因为目标进程本身就是AlertAble状态，所以可以直接激活APCProc回调函数。但是对于那些需要激活AlertAble状态的进程，一味的等待是没有意义的。应该如何处理？我在猜想WinDBG是否可以在本地内核模式的环境下更改目标进程的AlertAble状态。但是具体怎么实现就不知道了。继续期待大虾指点。 2010-11-19 04:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 3 楼继续期待大虾指点 2010-11-24 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复