首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]VMware虚拟机上如何调试运行DNF
发表于: 2011-2-23 20:41 70205

[原创]VMware虚拟机上如何调试运行DNF

无泪城 活跃值
2011-2-23 20:41
70205

查看主题内容

收藏
免费 7
支持
分享
最新回复 (31)
Music小冷
雪    币: 376
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
26
先把KdDisableDebugger改为ret
ba2b2064 ffd7            call    edi//KdDisableDebugger
ba2b2066 803e00          cmp     byte ptr [esi],0         //KdDebuggerEnabled,cmp改为1让它跳过
ba2b2069 75dc            jne     TesSafe+0x5047 (ba2b2047)
ba2b206b 5f              pop     edi
ba2b206c 5e              pop     esi
ba2b206d c3              ret

然后
ba0aa6ff 7406            je      TesSafe+0x2707 (ba0aa707)
ba0aa701 3901            cmp     dword ptr [ecx],eax
ba0aa703 7402            je      TesSafe+0x2707 (ba0aa707)
ba0aa705 8901            mov     dword ptr [ecx],eax//KdpTrap,nop掉
ba0aa707 c3              ret


ba324371 0f20c0          mov     eax,cr0
ba324374 25fffffeff      and     eax,0FFFEFFFFh
ba324379 0f22c0          mov     cr0,eax
ba32437c 8919            mov     dword ptr [ecx],ebx//nop
ba32437e 0f20c0          mov     eax,cr0
ba324381 0d00000100      or      eax,10000h
ba324386 0f22c0          mov     cr0,eax
ba324389 fb              sti
ba32438a b001            mov     al,1

ba3243a1 0f20c0          mov     eax,cr0
ba3243a4 25fffffeff      and     eax,0FFFEFFFFh
ba3243a9 0f22c0          mov     cr0,eax
ba3243ac 8939            mov     dword ptr [ecx],edi//nop
ba3243ae 0f20c0          mov     eax,cr0
ba3243b1 0d00000100      or      eax,10000h
ba3243b6 0f22c0          mov     cr0,eax
ba3243b9 fb              sti
ba3243ba b001            mov     al,1

接着...重启了
2011-5-28 03:22
0
lixupeng
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
27
mark!!!
2011-5-28 20:48
0
Music小冷
雪    币: 376
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
28
难道只有我自己出现这个情况了?
2011-6-29 12:31
0
无泪城
雪    币: 193
活跃值: (64)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
29
只要虚拟机TOOL装正确了,是可以在虚拟机上运行的。
首先解释下
KDCOM.dll:KdReceivePacket  //这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket      //主要用来方式别人双机调试
解决这两个HOOK保证能进行通讯。上次做的匆忙,对这两个函数挂钩的地方是不能NOP掉了,只要NOP就从新启动计算机,解决办法有两个,一是找到监控这个位置的函数,然后处理掉,另外一个是往上找找,我记得有一个跳转,直接跳出保证不执行HOOK。
对于禁止双机调试比较麻烦,也是有监控的,抽个空做个完整的。
2011-7-1 11:26
0
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
30
期待完整代码

3q
2011-7-1 20:43
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
31
Windbg功能很强大,但是被anti也很强大~
2011-7-2 01:17
0
chhhxj
雪    币: 57
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
32
没玩过虚拟机
2012-5-11 18:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//