首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]对于TP驱动保护的DebugPort清零如何恢复
发表于: 2011-1-12 22:36 13837

[讨论]对于TP驱动保护的DebugPort清零如何恢复

清茶 活跃值
2011-1-12 22:36
13837
阅读了看雪的那篇TP文章,对于debugport清零不知如何修改..   他用的是 RET NOP 这个机器码进行写入内核,但在什么地方一直不解...

我也用了syser对EPROCESS+BC下了断点,断在这几个地方

 



下面不知如何在适当的地方RET了

[课程]Linux pwn 探索篇!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (12)
ggdd
雪    币: 330
活跃值: (112)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
2
自买自夸一把,看看我写的这篇对你有帮助没
http://bbs.pediy.com/showthread.php?t=127246
2011-1-13 00:18
0
ichina
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
2011-1-13 09:03
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
4
只要你想修改它的代码,就必须要搞定代码校验~~
如果搞定了代码校验,想怎么改随你便,所以自校验重点。。。
另外,TP对buffer里存储的DebugPort的偏移也有校验。。。
2011-1-13 12:08
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
5
以前学Syser没学会,现在习惯Windbg了,呵呵~
2011-1-13 12:09
0
ggdd
雪    币: 330
活跃值: (112)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
是的,教主说得对,所以这个东西一定要注意加载循序,如有不慎就导致重启的
2011-1-13 16:34
0
清茶
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
就是说  先要把TP的监视给K了,然后想咋搞就咋搞    对不
2011-1-13 20:16
0
清茶
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
看了你的文章,能说明下第2种方法吗/?  我觉得应该是 RET NOP填充了je jz 等跳转  不知道是不是这样的...  如果是的话,是否对你分析出的那几个指令进行倒序进行写入 RET NOP 呢    按照你的思路我也用IDA把相应的代码找到了,现在就在于如何恢复  是ret nop  还是 jmp  还是别的
jz      short loc_10026BA   
jz      loc_1004FE9     //清零

  jbe     short loc_100429F //这是监视线程
2011-1-13 21:29
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
文章的确不错
2011-1-13 21:32
0
清茶
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
请问 ggdd  在干掉监视的时候  是在
                      cmp     [ebp+var_4], 17606A55h
                      jz      short loc_100423E         //这里写入RET NOP
                      call    sub_100163C  //重启
                      mov     eax, dword_100CA6C
还是
                    and     [ebp+var_C], 0
                     test    eax, eax
                     jbe     short loc_100429F //这个跳可以修改   这个跳转写入RET NOP呢
                     mov     esi, offset unk_100B26C
2011-1-13 22:05
0
清茶
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
用syser找出了crazyearl 的游戏保护中 特征吗部分  
.text:01004221                 xor     esi, ebx    //监视线程

他应该写的是这句话  但是为什么我改写RET NOP就蓝屏   不知道ggdd如何改写的
2011-1-13 23:30
0
清茶
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12


已经过了

调试死人啊   谢谢各位的细心回答
上传的附件:
2011-1-14 02:04
0
smove
雪    币: 40
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
13
你这个没过 要中断下来才算过
2011-2-21 13:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//