-
-
[旧帖] 求助:用ollydbg、SYSER调试MedRef的问题,请帮忙看一下 0.00雪花
-
发表于: 2011-12-19 19:28 2935
-
背景材料:
用正版优盘版MedRef(芯片为慧荣),可在任意一台电脑使用(不连接网络也可正常使用)。想学习一下调试软件的应用。
先用量产工具将一个金士顿优盘更改(芯片为群联),使其制造商等资料与正版软件优盘相同,但优盘的VID 、PID、设备序列号未能修改。将正版优盘版内文件(包括隐藏文件)复制进量产后的金士顿优盘,运行软件时提示runtime error,此对话框一闪即过,此后便不再有反应。再次运行同样结果。如果同时插上正版优盘,金士顿优盘上的的程序也可正常运行。(未量产的优盘,运行程序没有反应,同时插上正版优盘,也没有反应)
1,先用Ollydbg调试,打开程序后,停止在00401EE7处(见图1);
2,跟踪至00401C6F处(CALL ESI)(见图2);
3,F7跟进(见图3)
4,跟踪至77D24ABD(CALL 77D191C2(见图4)
5,F7跟进,(见图5)
6,跟踪至77D191CC(CALL DWORD PTR[EDX])(见图6)
7,F7跟进,(见图7)
8,跟踪至7C92E512(SYSENTER),
正版优盘在此后就运行程序了,程序代码也不再动。调试用的金士顿优盘,在此停顿后,运行到代码7C92E514,就没有反应了。
Ollydbg不能进入内核跟踪,所以换用SYSER DEBUGGER,但不太会这个调试软件。
用SYSER DEBUGGER加载正版优盘程序后,软件随即开始运行,代码停在停止在00401EE7处,同Ollydbg调试一样,至7C92E512(SYSENTER),也可跟进,但没找到关键代码。
用SYSER DEBUGGER加载金士顿优盘程序后,软件未启动,代码显示在80546b50(NOP)处,不知道是什么东东,没反应。
同时插上正版优盘及金士顿优盘,用SYSER DEBUGGER加载金士顿优盘程序后,软件正常启动,代码仍显示80546b50(NOP)处。
请问应该下一步应该如何进行调试?
用正版优盘版MedRef(芯片为慧荣),可在任意一台电脑使用(不连接网络也可正常使用)。想学习一下调试软件的应用。
先用量产工具将一个金士顿优盘更改(芯片为群联),使其制造商等资料与正版软件优盘相同,但优盘的VID 、PID、设备序列号未能修改。将正版优盘版内文件(包括隐藏文件)复制进量产后的金士顿优盘,运行软件时提示runtime error,此对话框一闪即过,此后便不再有反应。再次运行同样结果。如果同时插上正版优盘,金士顿优盘上的的程序也可正常运行。(未量产的优盘,运行程序没有反应,同时插上正版优盘,也没有反应)
1,先用Ollydbg调试,打开程序后,停止在00401EE7处(见图1);
2,跟踪至00401C6F处(CALL ESI)(见图2);
3,F7跟进(见图3)
4,跟踪至77D24ABD(CALL 77D191C2(见图4)
5,F7跟进,(见图5)
6,跟踪至77D191CC(CALL DWORD PTR[EDX])(见图6)
7,F7跟进,(见图7)
8,跟踪至7C92E512(SYSENTER),
正版优盘在此后就运行程序了,程序代码也不再动。调试用的金士顿优盘,在此停顿后,运行到代码7C92E514,就没有反应了。
Ollydbg不能进入内核跟踪,所以换用SYSER DEBUGGER,但不太会这个调试软件。
用SYSER DEBUGGER加载正版优盘程序后,软件随即开始运行,代码停在停止在00401EE7处,同Ollydbg调试一样,至7C92E512(SYSENTER),也可跟进,但没找到关键代码。
用SYSER DEBUGGER加载金士顿优盘程序后,软件未启动,代码显示在80546b50(NOP)处,不知道是什么东东,没反应。
同时插上正版优盘及金士顿优盘,用SYSER DEBUGGER加载金士顿优盘程序后,软件正常启动,代码仍显示80546b50(NOP)处。
请问应该下一步应该如何进行调试?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
|
|
|---|---|
|
|
他的文章
- 求助:用ollydbg、SYSER调试MedRef的问题,请帮忙看一下 2936
- [求助]请问此段汇编代码如何解读? 3322
- ollyice使用问题 2994
- [讨论]PGP的使用问题 3303
赞赏
雪币:
留言:
