[原创]windbg下断辅助-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 2 楼生成文件里的内容一次性拷贝到kd命令行中执行即可。。。 2012-4-14 07:22 0
莫灰灰雪币： 2325 活跃值： (2215) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼兄弟很早啊。目测如果不是mov ebp，esp这样开头的就断不下来拉。 2012-4-14 08:31 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 4 楼写成个windbg的扩展那就更好了:) 2012-4-14 09:31 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼有想法！目测特征值是mov edi, edi; push ebp; mov ebp, esp; 2012-4-14 10:03 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 6 楼各编译器编译出来的函数序言是一样的，在xp以以上版本序言是5个字节， mov edi, edi，push ebp，mov ebp, esp win2k以前系统函数的序言是3字节push ebp，mov ebp esp 2012-4-14 18:23 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 7 楼很好的建议，不过最近也没什么时间，各种忙........... 2012-4-14 18:27 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 8 楼不过在调试某些exe可执行程序时发现没有函数特征，不知道为什么？按特征搜索函数不是很好的方法，最好还是从CALL得到子过程来下断，这个小程序主要是用来辅助windbg断驱动的，exe程序这样断就没意义了.. 2012-4-14 18:51 0
莫灰灰雪币： 2325 活跃值： (2215) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 9 楼看来兄弟是没逆过其他的驱动啊。 2012-4-14 21:38 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 10 楼嗯，最近才搞点驱动， 2012-4-14 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 2 楼生成文件里的内容一次性拷贝到kd命令行中执行即可。。。 2012-4-14 07:22 0
莫灰灰雪币： 2325 活跃值： (2215) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼兄弟很早啊。目测如果不是mov ebp，esp这样开头的就断不下来拉。 2012-4-14 08:31 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 4 楼写成个windbg的扩展那就更好了:) 2012-4-14 09:31 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 5 楼有想法！目测特征值是mov edi, edi; push ebp; mov ebp, esp; 2012-4-14 10:03 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 6 楼各编译器编译出来的函数序言是一样的，在xp以以上版本序言是5个字节， mov edi, edi，push ebp，mov ebp, esp win2k以前系统函数的序言是3字节push ebp，mov ebp esp 2012-4-14 18:23 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 7 楼很好的建议，不过最近也没什么时间，各种忙........... 2012-4-14 18:27 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 8 楼不过在调试某些exe可执行程序时发现没有函数特征，不知道为什么？按特征搜索函数不是很好的方法，最好还是从CALL得到子过程来下断，这个小程序主要是用来辅助windbg断驱动的，exe程序这样断就没意义了.. 2012-4-14 18:51 0
莫灰灰雪币： 2325 活跃值： (2215) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 9 楼看来兄弟是没逆过其他的驱动啊。 2012-4-14 21:38 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 10 楼嗯，最近才搞点驱动， 2012-4-14 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复