[求助]恢复NtReadVirtualMemory的几个问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 2 楼如果代码形式不变，而且能在下一行下断的话，[esp]就是你想找到的那个数值。 2011-2-14 00:20 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 3 楼 [QUOTE=justlovemm;924862]如果代码形式不变，而且能在下一行下断的话，[esp]就是你想找到的那个数值。[/QUOTE] 这里的[esp] 是怎么获得的如果用OD下端的话 [esp]就是我所要的那个push值是吗? 2011-2-14 04:35 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼从文件解析PE 2011-2-14 13:30 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 5 楼文件是不是c:\windows\system32\ntoskrnl.exe? 具体是怎么分析 ?用工具吗? 2011-2-14 16:43 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 6 楼大牛正解。另外，那个地址是8开头的，你在OD里是看不到的。 2011-2-14 22:42 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 7 楼正解? 额好吧正解~~ 2011-2-15 04:29 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 8 楼你用IDA 逆向ntoskrnl.exe，就能发现NtReadVirtualMemory，不过这个函数加载到内核中后好多偏移都变化了，需要重新定位。我看过NtReadVirtualMemory这个函数，第二个PUSH，好像是一个结构体的地址入栈了，如果程序加载到内核中，那么这个结构体的地址是会变化的，然后如果把立即数入栈，就不存在偏移了。因此有两种方法，一种比较假单，就是在你那有没还没有启动的时候，扫描一下NtReadVirtualMemory，把没有被HOOK的数据保存下来，然后运行程序，这样就被HOOK了，然后你在把保存起来的数据恢复就行了。还有一种复杂一点，不用再开始的时候扫描，自己分析ntkrnlpa.exe和win32k.sys文件了。 2011-2-15 09:14 0
Mxixihaha 雪币： 4343 活跃值： (4328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 9 楼如果我说的没错的话, jmp eax 是跳到自己的函数那么在那个函数返回的地方找到原形不可以吗? mov eax, myFunction jmp eax myFunction: xxxxx //做完后一定会 push 1c push xxxx .... jmp NtReadVirtualMemory+8 2011-2-15 10:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 2 楼如果代码形式不变，而且能在下一行下断的话，[esp]就是你想找到的那个数值。 2011-2-14 00:20 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 3 楼 [QUOTE=justlovemm;924862]如果代码形式不变，而且能在下一行下断的话，[esp]就是你想找到的那个数值。[/QUOTE] 这里的[esp] 是怎么获得的如果用OD下端的话 [esp]就是我所要的那个push值是吗? 2011-2-14 04:35 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼从文件解析PE 2011-2-14 13:30 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 5 楼文件是不是c:\windows\system32\ntoskrnl.exe? 具体是怎么分析 ?用工具吗? 2011-2-14 16:43 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 6 楼大牛正解。另外，那个地址是8开头的，你在OD里是看不到的。 2011-2-14 22:42 0
内存溢出雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	内存溢出 7 楼正解? 额好吧正解~~ 2011-2-15 04:29 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 8 楼你用IDA 逆向ntoskrnl.exe，就能发现NtReadVirtualMemory，不过这个函数加载到内核中后好多偏移都变化了，需要重新定位。我看过NtReadVirtualMemory这个函数，第二个PUSH，好像是一个结构体的地址入栈了，如果程序加载到内核中，那么这个结构体的地址是会变化的，然后如果把立即数入栈，就不存在偏移了。因此有两种方法，一种比较假单，就是在你那有没还没有启动的时候，扫描一下NtReadVirtualMemory，把没有被HOOK的数据保存下来，然后运行程序，这样就被HOOK了，然后你在把保存起来的数据恢复就行了。还有一种复杂一点，不用再开始的时候扫描，自己分析ntkrnlpa.exe和win32k.sys文件了。 2011-2-15 09:14 0
Mxixihaha 雪币： 4343 活跃值： (4328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 9 楼如果我说的没错的话, jmp eax 是跳到自己的函数那么在那个函数返回的地方找到原形不可以吗? mov eax, myFunction jmp eax myFunction: xxxxx //做完后一定会 push 1c push xxxx .... jmp NtReadVirtualMemory+8 2011-2-15 10:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复