[求助]恢复SDDT 为什么虚拟机没事物理机蓝屏啊求驱动高手分析下-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]恢复SDDT 为什么虚拟机没事物理机蓝屏啊求驱动高手分析下 0.00雪花

发表于: 2011-7-16 03:47 2076

[旧帖] [求助]恢复SDDT 为什么虚拟机没事物理机蓝屏啊求驱动高手分析下 0.00雪花

哇咔咔zs

2011-7-16 03:47

2076

我想调试个进程该进程HOOK了NtOpenProcess
看图:

因为它会检测到是否被恢复了所以不能直接恢复

我想了个办法就是在call 之前jmp 到我的函数去执行代码：

DWORD dwEditCodeAddress,dwRetAddress,dwObOpenObjectByPointer;

#pragma PAGECODE
__declspec(naked)VOID MyNtOpenProcess()
{

  __asm
  {
    push    dword ptr [ebp-38h]
    push    dword ptr [ebp-24h]
    call dwObOpenObjectByPointer
    mov     edi,eax
    lea     eax,[ebp-0B8h]
    push eax
    mov ebx,dwRetAddress
    jmp ebx //返回图上第三行红字那里

  }

}
#pragma PAGECODE
VOID Hook()
{
  UNICODE_STRING Us_ObOpenObjectByPointer,Us_NtOpenProcess;
  DWORD dwNtOpenProcess;
  //
  RtlInitUnicodeString(&Us_ObOpenObjectByPointer,L"ObOpenObjectByPointer");
  RtlInitUnicodeString(&Us_NtOpenProcess,L"NtOpenProcess");
  //
  dwObOpenObjectByPointer=(DWORD)MmGetSystemRoutineAddress(&Us_ObOpenObjectByPointer);//取得ObOpenObjectByPointer函数地址
  dwNtOpenProcess=(DWORD)MmGetSystemRoutineAddress(&Us_NtOpenProcess);//取得NtOpenProcess函数地址
  //
  dwEditCodeAddress=dwNtOpenProcess+0x21e; //NtOpenProcess+0x21e是要修改的地址
  dwRetAddress=dwNtOpenProcess+0x232; //这个是MyNtOpenProcess执行完毕后返回的地址

  __asm
  {

      //去掉保护
      cli
      mov  eax,cr0
      and  eax,not 10000h
      mov  cr0,eax
      //修改NtOpenProcess
      mov ebx,dwEditCodeAddress
      mov al,0xe9
      mov byte ptr[ebx],al //往要修改的地址里写入jmp
      lea eax,MyNtOpenProcess
      sub eax,ebx
      sub eax,5
      mov DWORD ptr[ebx+1],eax //写入jmp的函数地址
      mov al,0x90
      mov byte ptr[ebx+5],al //因为要修改代码处是6字节而jmp MyNtOpenProcess是5字节所以剩下一字节写入个NOP指令
      //开启保护
      mov  eax,cr0
      or   eax,10000h
      mov  cr0,eax

  }

}
不知道为什么在虚拟机里加载了编译出来的驱动可行可是我要调试的程序不能再虚拟机里运行
在物理机不行加载驱动后想打开OD就蓝屏了

这问题已经纠结了我好几天了求高手帮个忙分析下啦

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

QQ截图未命名.jpg （52.46kb，169次下载）

收藏・1

免费・0

支持

最新回复 (17)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼 2011注册的起点很高啊。关注 2011-7-16 08:47 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 3 楼又是过保护~~你搭个windbg看看什么地方出的问题，或者把minidump下的.dmp拿出来看看或许也有点帮助 2011-7-16 09:15 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 4 楼话说楼主用的什么工具啊！！！！！还蛮不错的对于楼主的问题我想问的是虚拟机里面你多半没运行游戏在物理机是不是运行游戏了游戏有检测到之类的 2011-7-16 09:17 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 5 楼江湖传闻加载内核大法 2011-7-16 09:26 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 6 楼有两种可能： 1，可能涉及到了硬编码，所以换计算机出错 2，实体机上是不是开了游戏不过没有看到硬编码的部分，是不是你调试的东西有检测？ 2011-7-16 09:39 0
Kael 雪币： 2422 活跃值： (3578) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	Kael 7 楼 TP吧，可能是游戏有检测 2011-7-16 11:09 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 8 楼才没啊！！我在虚拟机里加载了这驱动打开OD可以调试任何进程在物理机里呢刚打开OD就蓝屏了还没打开游戏测试呢 2011-7-16 12:27 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 9 楼在windbg里看不出有什么问题啊 2011-7-16 12:29 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 10 楼没有！没有运行游戏它驱动一共HOOK了6个函数，我已经无异常的恢复了5个就剩下这个NtOpenProcess了对于你的问题工具是 Kernel Detective http://bbs.pediy.com/showthread.php?t=95707 2011-7-16 12:38 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 11 楼终于解决了。。。。不过它还是会检测到 2011-7-16 14:28 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 12 楼呵呵恭喜哈。能不能分享下是什么原因呢？ 2011-7-16 15:47 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 13 楼貌似我漏了个 sti 而已又陷入一个更深的问题了~~ 2011-7-16 16:12 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 14 楼大哥真纠结漏了个STI是什么意思啊 2011-7-16 17:01 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼你看我上面代码嘛写入jmp指令下面 mov eax,cr0 or eax,10000h mov cr0,eax sti 具体我不清楚加上 sti就不蓝屏了我驱动很菜鸟可以说没入门加载驱动之后呢等几分钟后才会提示没提示之前OD打开进程后马上提示我觉得ring0 和ring3都有检测呵呵 2011-7-16 17:09 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼送个邀请码啦 100Kx很难熬 2011-7-16 17:10 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 17 楼我哦才100多KX 2011-7-16 17:30 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 18 楼查询了 STI是　表示将处理器标志寄存器的中断标志置1,允许中断这个居然引发蓝屏这种问题怎么找啊真靠运气了哈哈汗.。。。。。。。。。 2011-7-18 08:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

哇咔咔zs

发帖

443

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼 2011注册的起点很高啊。关注 2011-7-16 08:47 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 3 楼又是过保护~~你搭个windbg看看什么地方出的问题，或者把minidump下的.dmp拿出来看看或许也有点帮助 2011-7-16 09:15 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 4 楼话说楼主用的什么工具啊！！！！！还蛮不错的对于楼主的问题我想问的是虚拟机里面你多半没运行游戏在物理机是不是运行游戏了游戏有检测到之类的 2011-7-16 09:17 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 5 楼江湖传闻加载内核大法 2011-7-16 09:26 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 6 楼有两种可能： 1，可能涉及到了硬编码，所以换计算机出错 2，实体机上是不是开了游戏不过没有看到硬编码的部分，是不是你调试的东西有检测？ 2011-7-16 09:39 0
Kael 雪币： 2422 活跃值： (3578) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	Kael 7 楼 TP吧，可能是游戏有检测 2011-7-16 11:09 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 8 楼才没啊！！我在虚拟机里加载了这驱动打开OD可以调试任何进程在物理机里呢刚打开OD就蓝屏了还没打开游戏测试呢 2011-7-16 12:27 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 9 楼在windbg里看不出有什么问题啊 2011-7-16 12:29 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 10 楼没有！没有运行游戏它驱动一共HOOK了6个函数，我已经无异常的恢复了5个就剩下这个NtOpenProcess了对于你的问题工具是 Kernel Detective http://bbs.pediy.com/showthread.php?t=95707 2011-7-16 12:38 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 11 楼终于解决了。。。。不过它还是会检测到 2011-7-16 14:28 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 12 楼呵呵恭喜哈。能不能分享下是什么原因呢？ 2011-7-16 15:47 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 13 楼貌似我漏了个 sti 而已又陷入一个更深的问题了~~ 2011-7-16 16:12 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 14 楼大哥真纠结漏了个STI是什么意思啊 2011-7-16 17:01 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 15 楼你看我上面代码嘛写入jmp指令下面 mov eax,cr0 or eax,10000h mov cr0,eax sti 具体我不清楚加上 sti就不蓝屏了我驱动很菜鸟可以说没入门加载驱动之后呢等几分钟后才会提示没提示之前OD打开进程后马上提示我觉得ring0 和ring3都有检测呵呵 2011-7-16 17:09 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼送个邀请码啦 100Kx很难熬 2011-7-16 17:10 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 17 楼我哦才100多KX 2011-7-16 17:30 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 18 楼查询了 STI是　表示将处理器标志寄存器的中断标志置1,允许中断这个居然引发蓝屏这种问题怎么找啊真靠运气了哈哈汗.。。。。。。。。。 2011-7-18 08:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]恢复SDDT 为什么虚拟机没事物理机蓝屏啊 求驱动高手分析下 0.00雪花

[旧帖] [求助]恢复SDDT 为什么虚拟机没事物理机蓝屏啊求驱动高手分析下 0.00雪花