[求助]获取非导出DbgkpCloseObject 地址-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 2 楼暴力搜索： //xp INIT:005E36C3 89 75 B4 mov [ebp+var_4C], esi INIT:005E36C6 66 C7 45 9C 4C 00 mov word ptr [ebp+var_64], 4Ch INIT:005E36CC C6 45 B8 01 mov [ebp+var_48], 1 INIT:005E36D0 89 5D A0 mov [ebp+var_60], ebx INIT:005E36D3 89 5D BC mov [ebp+var_44], ebx INIT:005E36D6 C7 45 D4 EF 85 4A 00 mov [ebp+var_2C], offset xHalLocateHiberRanges(x) INIT:005E36DD C7 45 D0 71 AD 58 00 mov [ebp+var_30], offset DbgkpCloseObject(x,x,x,x,x) INIT:005E36E4 8D 75 E8 lea esi, [ebp+var_18] INIT:005E36E7 8D 7D A4 lea edi, [ebp+var_5C] INIT:005E36EA A5 movsd INIT:005E36EB A5 movsd INIT:005E36EC 68 3C 95 48 00 push offset _DbgkDebugObjectType ; int //win 7 INIT:00792903 6A 50 push 50h INIT:00792905 58 pop eax INIT:00792906 89 75 B4 mov [ebp+var_4C], esi INIT:00792909 66 89 45 98 mov word ptr [ebp+var_68], ax INIT:0079290D 89 5D A0 mov [ebp+var_60], ebx INIT:00792910 89 5D BC mov [ebp+var_44], ebx INIT:00792913 C7 45 D4 61 10 66 00 mov [ebp+var_2C], offset _xHalLocateHiberRanges@4 ; xHalLocateHiberRanges(x) INIT:0079291A C7 45 D0 23 30 6A 00 mov [ebp+var_30], offset _DbgkpCloseObject@16 ; DbgkpCloseObject(x,x,x,x) INIT:00792921 8D 75 E8 lea esi, [ebp+var_18] INIT:00792924 8D 7D A4 lea edi, [ebp+var_5C] INIT:00792927 A5 movsd INIT:00792928 A5 movsd INIT:00792929 68 EC E4 52 00 push offset _DbgkDebugObjectType ; int 2011-1-21 20:02 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 3 楼谢谢，暴力搜索不爽。。。。这样我早就弄了 2011-1-21 20:50 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 4 楼分析函数的调用过程，最终一定可以找到这个函数，这样显示技术上更好一些，只是比较复杂。如果针对固定的系统版本，可以下载符号表去查，论坛中有人用过这种方式。我觉得暴力搜也可以用，只要不冲突就行，不是吗?而且我试过，可以用一个特征码在XP和WIN7中搜到它。 2011-1-21 23:52 0
bluesheet 雪币： 211 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	bluesheet 5 楼从debugobject type中获取 2011-1-22 12:09 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 6 楼百度了下，不是很明白。。。bluesheet兄能否详细点 2011-1-22 21:24 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 7 楼实时取的好方法，猜一下，5楼大概的方法是：ZwQueryObject(hDebugObj,PUBLIC_OBJECT_TYPE_INFORMATION,...); 2011-1-22 22:09 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 8 楼猜错了，上面的方法不行，因为获得的信息中不包括CloseProcedure及其它Procedure,大概只能从OBJECT_TYPE中直接取了，只是OBJECT_TYPE结构不太稳定。 2011-1-23 10:09 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼下载PDB，直接获取 2011-1-25 16:21 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 10 楼谢谢各位老大，直接暴力搜索算了，发现还有好多函数都不能有效的获取函数地址。 2011-1-25 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 2 楼暴力搜索： //xp INIT:005E36C3 89 75 B4 mov [ebp+var_4C], esi INIT:005E36C6 66 C7 45 9C 4C 00 mov word ptr [ebp+var_64], 4Ch INIT:005E36CC C6 45 B8 01 mov [ebp+var_48], 1 INIT:005E36D0 89 5D A0 mov [ebp+var_60], ebx INIT:005E36D3 89 5D BC mov [ebp+var_44], ebx INIT:005E36D6 C7 45 D4 EF 85 4A 00 mov [ebp+var_2C], offset xHalLocateHiberRanges(x) INIT:005E36DD C7 45 D0 71 AD 58 00 mov [ebp+var_30], offset DbgkpCloseObject(x,x,x,x,x) INIT:005E36E4 8D 75 E8 lea esi, [ebp+var_18] INIT:005E36E7 8D 7D A4 lea edi, [ebp+var_5C] INIT:005E36EA A5 movsd INIT:005E36EB A5 movsd INIT:005E36EC 68 3C 95 48 00 push offset _DbgkDebugObjectType ; int //win 7 INIT:00792903 6A 50 push 50h INIT:00792905 58 pop eax INIT:00792906 89 75 B4 mov [ebp+var_4C], esi INIT:00792909 66 89 45 98 mov word ptr [ebp+var_68], ax INIT:0079290D 89 5D A0 mov [ebp+var_60], ebx INIT:00792910 89 5D BC mov [ebp+var_44], ebx INIT:00792913 C7 45 D4 61 10 66 00 mov [ebp+var_2C], offset _xHalLocateHiberRanges@4 ; xHalLocateHiberRanges(x) INIT:0079291A C7 45 D0 23 30 6A 00 mov [ebp+var_30], offset _DbgkpCloseObject@16 ; DbgkpCloseObject(x,x,x,x) INIT:00792921 8D 75 E8 lea esi, [ebp+var_18] INIT:00792924 8D 7D A4 lea edi, [ebp+var_5C] INIT:00792927 A5 movsd INIT:00792928 A5 movsd INIT:00792929 68 EC E4 52 00 push offset _DbgkDebugObjectType ; int 2011-1-21 20:02 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 3 楼谢谢，暴力搜索不爽。。。。这样我早就弄了 2011-1-21 20:50 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 4 楼分析函数的调用过程，最终一定可以找到这个函数，这样显示技术上更好一些，只是比较复杂。如果针对固定的系统版本，可以下载符号表去查，论坛中有人用过这种方式。我觉得暴力搜也可以用，只要不冲突就行，不是吗?而且我试过，可以用一个特征码在XP和WIN7中搜到它。 2011-1-21 23:52 0
bluesheet 雪币： 211 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	bluesheet 5 楼从debugobject type中获取 2011-1-22 12:09 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 6 楼百度了下，不是很明白。。。bluesheet兄能否详细点 2011-1-22 21:24 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 7 楼实时取的好方法，猜一下，5楼大概的方法是：ZwQueryObject(hDebugObj,PUBLIC_OBJECT_TYPE_INFORMATION,...); 2011-1-22 22:09 0
半道出家雪币： 724 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 207 粉丝 0 关注私信	半道出家 8 楼猜错了，上面的方法不行，因为获得的信息中不包括CloseProcedure及其它Procedure,大概只能从OBJECT_TYPE中直接取了，只是OBJECT_TYPE结构不太稳定。 2011-1-23 10:09 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼下载PDB，直接获取 2011-1-25 16:21 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 10 楼谢谢各位老大，直接暴力搜索算了，发现还有好多函数都不能有效的获取函数地址。 2011-1-25 22:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复