首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
1
0
[求助]关于系统内核问题
发表于: 2011-12-15 21:30
6258
[求助]关于系统内核问题
guanri
2011-12-15 21:30
6258
我们知道一个程序加载dll时,寻找DLL的过程是
当前路径
系统路径
我更改系统那个函数,使其按照这个顺序执行
系统路径
当前路径
谢谢高手指教
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
#系统底层
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
11
)
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
2
楼
内核高手指教一下吧
2011-12-16 21:17
0
jakegoogle
雪 币:
216
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
18
粉丝
0
关注
私信
jakegoogle
3
楼
这个需要更改函数吗?直接把dll名添加到注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager \KnownDLLs下面就可以了
2011-12-17 01:31
0
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
4
楼
谢谢您的回答,你说的是更改
注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager \KnownDLLs
这个更改结果是原搜索路径
应用程序路径
当前路径
系统路径
更改后是
应用程序路径
系统路径
当前路径
我要的是
系统路径
应用程序路径
当前路径
2011-12-17 05:47
0
KiDebug
雪 币:
544
活跃值:
(264)
能力值:
( LV12,RANK:210 )
在线值:
发帖
20
回帖
280
粉丝
6
关注
私信
KiDebug
4
5
楼
XP,kernel32.dll;Win7,KernelBase.dll
里面有个DWORD数组:2,3,5,4,改成3,2,5,4就行。
2:EXE所在的文件夹
3:系统路径
5:.当前目录
4:环境变量中的Path
2011-12-17 17:01
0
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
6
楼
KiDebug 谢谢你的回答,能详细的说一下么?
您就说是一个数值,我没法定位,你能说一下这个数组在什么函数中引用了么?这样我好定位这个函数,或者用别的方法也可以,只要能定位这个函数即可,谢谢
2011-12-17 17:24
0
KiDebug
雪 币:
544
活跃值:
(264)
能力值:
( LV12,RANK:210 )
在线值:
发帖
20
回帖
280
粉丝
6
关注
私信
KiDebug
4
7
楼
4个DWORD,2,3,5,4,暴搜一下用不了几毫秒。自己改函数貌似太麻烦了。
2011-12-17 17:38
0
jakegoogle
雪 币:
216
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
18
粉丝
0
关注
私信
jakegoogle
8
楼
不好意思啊 当时没仔细看就给你说了 按照KiDebug的方法 我帮你找了 在我的机子(win7)上有两个位置 你可以用winhex等二进制编辑工具打开XP,kernel32.dll;Win7,KernelBase.dll 直接搜索0000000200000003就可以查到了 附件是我机子上的
上传的附件:
1.png
(1.82kb,145次下载)
2.png
(2.77kb,145次下载)
2011-12-18 22:39
0
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
9
楼
谢谢,两位老大,我也修改了,我也用bcb写测试程序了,好用。但是在c#的程序中就不好用,费解。
2011-12-19 05:45
0
ronging
雪 币:
113
活跃值:
(100)
能力值:
( LV4,RANK:50 )
在线值:
发帖
18
回帖
451
粉丝
0
关注
私信
ronging
10
楼
有点意思, 其实更好的方法还是在应用层做吧。
比如说,自己获得系统路径,然后加载DLL,然后获得应用程序路径,加载DLL。
修改kernelbase,有点暴力。
2011-12-19 11:23
0
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
11
楼
哪位高手说说,或提供一个方法也可呀。我现在不知道怎么下手
2011-12-20 07:05
0
guanri
雪 币:
189
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
57
粉丝
0
关注
私信
guanri
12
楼
顶一下,等待,高手ing
2011-12-21 20:29
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
guanri
12
发帖
57
回帖
10
RANK
关注
私信
他的文章
[求助]关于系统内核问题
6259
[求助]那位大侠,指教一下怎么调试clr程序
4175
[求助]delphi程序调试问题
6635
[求助]用ida调试程序
8103
关于lua的问题
6807
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部