[原创]TP 第三处断点清0 寻找方法以及源码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]TP 第三处断点清0 寻找方法以及源码

发表于: 2012-4-5 00:18 5823

[原创]TP 第三处断点清0 寻找方法以及源码

凉宫春日

2012-4-5 00:18

5823

for (;;)
				{  
					//CALL的头部特征码
						//f0 0f c1 08 9d 61 8b e5 +29=9d +30=61 +34=ff +36=80
					if (*Psd5==0xf0&&*(Psd5+1)==0x0f&&*(Psd5+2)==0xc1&&*(Psd5+3)==0x08&&*(Psd5+4)==0x9d&&*(Psd5+5)==0x61
						&&*(Psd5+6)==0x8b&&*(Psd5+7)==0xe5&&*(Psd5+29)==0x9d&&*(Psd5+30)==0x61&&*(Psd5+34)==0xff&&*(Psd5+36)==0x80)
					{

						KdPrint(("Psd5首地址:%x \n",(ULONG)Psd5));
						BYTE *calladd;

					//	while (1) 
						//{ 
							Psd5add=Psd5-98;
							calladd=Psd5add+5+*(ULONG*)(Psd5-97);
							//if ((*(Psd5-1) == 0xcc) && (*(Psd5-2) == 0xcc))
							//{ 
								KdPrint(("calladd的数值是:%x \n",(ULONG)calladd)); 

								//提升IRQL中断级 
								WPOFF(); //清除CR0
								//写入 
								RtlCopyMemory(calladd,C390,2); 
								//恢复Irql 
								WPON(); //恢复CR0 

								break; 
							//} 
							//Psd5--; 
						//} 

					//	break;

					}
					Psd5++;
				}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

未命名.jpg （54.92kb，290次下载）
2.jpg （60.37kb，290次下载）
3.jpg （48.02kb，289次下载）
4.jpg （33.00kb，290次下载）

收藏・6

免费・6

支持

最新回复 (15)
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 2 楼学习了。出租广告位 2012-4-5 00:20 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 3 楼楼主的虚拟机啥版本，我是vmware6.5的 2012-4-5 00:25 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 4 楼 VM 6.0 网上6.5的大部分是精简版的没办法进行 windbg的双机调试 2012-4-5 00:27 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 5 楼我的虚拟机好像不行 2012-4-5 00:28 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 6 楼我的意思是开不了dxf，双机调试没问题 2012-4-5 00:30 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 7 楼网上很多教程都有教怎么开一般是3D加速问题百度很多答案 2012-4-5 00:33 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 8 楼感谢，再次膜拜楼主，翻身睡觉。。 2012-4-5 00:36 0
rookiit 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	rookiit 9 楼楼主的虚拟机哪里下载的？ 2012-4-5 00:38 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 10 楼 http://16.duote.com/ha_vmware.exe 2012-4-5 00:40 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 11 楼楼主。。。我的3D加速开了，但是ndf一运行到快进入选择频道但还没进入时的那个显示版本的地方就退出了，没提示，不知道如何处理。 2012-4-5 10:55 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 12 楼楼主，我的已经更新到vmware8.0，你的vmware网络是什么模式，我的是nat，上面的问题仍存在。 2012-4-8 15:17 0
cysmai 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	cysmai 13 楼学习一下，楼主写的很辛苦，多谢分享 2012-4-8 18:42 0
pujie 雪币： 27 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	pujie 14 楼汉化初学者学习学习了 2012-4-8 19:40 0
wangweilll 雪币： 508 活跃值： (202) 能力值： ( LV9，RANK：160 ) 在线值：发帖 36 回帖 195 粉丝 2 关注私信	wangweilll 2 15 楼下个stack 命令找到调用CALL就可以了 2012-4-26 22:36 0
mintomin 雪币： 87 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	mintomin 16 楼 dnf 不好过的 2012-4-27 10:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

凉宫春日

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 2 楼学习了。出租广告位 2012-4-5 00:20 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 3 楼楼主的虚拟机啥版本，我是vmware6.5的 2012-4-5 00:25 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 4 楼 VM 6.0 网上6.5的大部分是精简版的没办法进行 windbg的双机调试 2012-4-5 00:27 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 5 楼我的虚拟机好像不行 2012-4-5 00:28 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 6 楼我的意思是开不了dxf，双机调试没问题 2012-4-5 00:30 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 7 楼网上很多教程都有教怎么开一般是3D加速问题百度很多答案 2012-4-5 00:33 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 8 楼感谢，再次膜拜楼主，翻身睡觉。。 2012-4-5 00:36 0
rookiit 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	rookiit 9 楼楼主的虚拟机哪里下载的？ 2012-4-5 00:38 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 10 楼 http://16.duote.com/ha_vmware.exe 2012-4-5 00:40 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 11 楼楼主。。。我的3D加速开了，但是ndf一运行到快进入选择频道但还没进入时的那个显示版本的地方就退出了，没提示，不知道如何处理。 2012-4-5 10:55 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 12 楼楼主，我的已经更新到vmware8.0，你的vmware网络是什么模式，我的是nat，上面的问题仍存在。 2012-4-8 15:17 0
cysmai 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	cysmai 13 楼学习一下，楼主写的很辛苦，多谢分享 2012-4-8 18:42 0
pujie 雪币： 27 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	pujie 14 楼汉化初学者学习学习了 2012-4-8 19:40 0
wangweilll 雪币： 508 活跃值： (202) 能力值： ( LV9，RANK：160 ) 在线值：发帖 36 回帖 195 粉丝 2 关注私信	wangweilll 2 15 楼下个stack 命令找到调用CALL就可以了 2012-4-26 22:36 0
mintomin 雪币： 87 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	mintomin 16 楼 dnf 不好过的 2012-4-27 10:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复