[求助]softice设条件断点unicode前缀问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]softice设条件断点unicode前缀问题 0.00雪花

发表于: 2011-8-18 12:22 3180

[旧帖] [求助]softice设条件断点unicode前缀问题 0.00雪花

pdx

2011-8-18 12:22

3180

经过搜索,学会了*这一招
想下这样一个条件断点:bpx CreateFileW if (unicode)*(*(esp+4))=='c:\1.exe'
但是softice说unicode未定义
搜索了很久都没找到答案~
想请教一下这个断点的条件部分究竟该如何表达?谢谢~

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (1)
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 2 楼补充: 下午,不加条件直接拦CreateFileW,n次中断以后发现有一个路径是要找的: C:\DOCUME~1\vip\LOCALS~1\Temp\scvhost.exe 于是用了一个笨办法,就是: bpx CreateFileW if ((esp+4)+80)==65 与,bpx CreateFileW if (byte)((esp+4)+80)==65 解释一下,就是判断内存里[esp+4]往后80的偏移处的字符是否为'e'(路径的最后一个字符) 结果,什么都拦不到~ 这个思路哪里有问题呢? 2011-8-18 15:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

pdx

雪币： 238

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

pdx: 2 楼

补充:
下午,不加条件直接拦CreateFileW,n次中断以后发现有一个路径是要找的:
C:\DOCUME~1\vip\LOCALS~1\Temp\scvhost.exe
于是用了一个笨办法,就是:
bpx CreateFileW if *(*(esp+4)+80)==65
与,bpx CreateFileW if (byte)*(*(esp+4)+80)==65
解释一下,就是判断内存里[esp+4]往后80的偏移处的字符是否为'e'(路径的最后一个字符)
结果,什么都拦不到~
这个思路哪里有问题呢?

2011-8-18 15:36

pdx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区