[讨论]Debugport 清零 EagleNT.SYS-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]Debugport 清零 EagleNT.SYS

发表于: 2011-1-17 12:45 17786

[讨论]Debugport 清零 EagleNT.SYS

蘇仨

活跃值

2011-1-17 12:45

17786

EagleNT.SYS
驱动保护
在BC处下断得到

没有看到XOR EAX EAX这样的清零动作
进入到CALL B0B2D543
看到

请问这个清零的通过CALL实现的吗？
是不是修改CALL里面的XOR EAX EAX这样的动作就可以去掉他的清零动作呢？

望大牛指教

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （75.25kb，1190次下载）
2.jpg （45.84kb，1191次下载）
3.jpg （66.50kb，1190次下载）
4.jpg （75.10kb，1186次下载）
5.jpg （40.31kb，1186次下载）
6.jpg （73.26kb，1188次下载）
7.jpg （39.91kb，1181次下载）
8.jpg （39.64kb，1182次下载）
9.jpg （33.32kb，1195次下载）
10.jpg （37.20kb，1180次下载）
11.jpg （37.86kb，1185次下载）
12.jpg （45.02kb，1179次下载）

收藏・8

免费・0

支持

分享

最新回复 (18)
stolenmu 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 93 粉丝 0 关注私信	stolenmu 2 楼吧啊啊啊啊啊啊啊 2011-1-17 14:37 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼明显VM过了。 2011-1-17 16:39 0
千里之外雪币： 217 活跃值： (68) 能力值： ( LV12，RANK：210 ) 在线值：发帖 14 回帖 210 粉丝 1 关注私信	千里之外 5 4 楼给Debugport的地址下内存写断点断下来就知道谁在清零了 2011-1-17 16:54 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼 VMVMVMVM 2011-1-18 17:10 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 6 楼 VM 是什么意思，内存写断点不能断下，游戏启动前对softICE SYSER 都有检测启动后开调试器，就已经清零了，所以写断点也不能下现在dump 想出驱动内存，请问要保存成什么类型的，用什么分析是不是保存成 SYS 用IDA分析呢？？？ 2011-1-19 02:03 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 7 楼还原vm即可 2011-1-19 08:18 0
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 8 楼好、、、、、、呵呵。。学习了。。。 2011-1-19 09:37 0
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 9 楼嗯，，学习了了。。。 2011-1-19 09:40 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 10 楼 VM 是什么意思，如何还原呢谢谢 2011-1-19 14:00 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 11 楼现在可以直接讨论游戏保护系统了？论坛已经被占领了？ 2011-1-19 15:36 0
jacksona 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	jacksona 12 楼 HS 没有这么难搞吧，昨天偶的OD都能正常调试。 2011-1-19 18:21 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 13 楼 HS 有很多版本的，最新版的我已经过了，就是这个版本5.3.5.1024 保护我还不能过，可以交流下吗？ QQ ;361954513 2011-1-20 02:02 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 14 楼哥们搞HS也要低调点啊 2011-1-24 21:05 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 15 楼 [QUOTE='火翼[CCG];917194']现在可以直接讨论游戏保护系统了？论坛已经被占领了？[/QUOTE] 破嘴，搞得你多尊贵一样。 2011-1-25 03:32 0
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 16 楼好像最新的是5.5.2.101 2011-3-10 11:12 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼楼主这个OD颜色配置不错 2011-3-10 19:43 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 18 楼 LZ用的是什么调试器？看起来很先进啊 2011-3-18 16:28 0
wangweilll 雪币： 508 活跃值： (202) 能力值： ( LV9，RANK：160 ) 在线值：发帖 36 回帖 195 粉丝 2 关注私信	wangweilll 2 19 楼 NO od 是 Syser 2012-2-13 14:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

蘇仨

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//