[求助]清零操作，，不知道怎么恢复。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]清零操作，，不知道怎么恢复。。

发表于: 2012-7-9 00:17 15855

[求助]清零操作，，不知道怎么恢复。。

kissxrl

2012-7-9 00:17

15855

B223A73D 64:8F02 pop dword ptr [edx] ；清零 edx=debugport地址
B223A740 E9 71C3FFFF jmp B2236AB6

其他地方都给弄好了。。。剩下一个地方 +bc 下了断点后，，断在这里。。。

我用了几个方法都不行。。。请教各位大大呢。。。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・5

免费・0

支持

最新回复 (31) 1 2 ▶
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 2 楼我是用改掉DEBUGPORT偏移+BC的方法。不会去动TX驱动的代码的。 2012-7-9 01:02 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 3 楼请教下你是怎么做的是重新编译内核还是手动修改偏移呀。就是有点不明白新的清零，怎么弄。。有高人指点下吗。 2012-7-9 01:11 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 4 楼是改掉所有调用debugport的内核函数 2012-7-9 01:16 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 5 楼就一个地方。。。流程太复杂呢。。。非要费时间一点点看。。。自己汇编基础不是很好。。。伤了。手动改偏移要改的地方太多呢。。想到就晕。。。改偏移 R0改了。。R3的还要改把。 2012-7-9 01:31 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 6 楼 R3不需要改,要想知道内核中要改哪些函数,看2003的内核源码即可 2012-7-9 01:47 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 7 楼 hook一下上面的地方，然后判断一下edx的值，不管为不为0直接改成0. 2012-7-9 02:45 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼对游戏进程Debugport位置下硬件写入中断，挂钩IDT 1号向量，将捕获到的写入全部改为非0. 2012-7-9 08:07 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 9 楼找一个普通程序对Debugport下断点，然后用OD挂它。就会得到哪些函数使用了Debugport。将其内部定位Debugport(+bc)的代码全部改为EPROCESS内其它位置。 2012-7-9 08:09 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 10 楼楼主错了吧，这里仅仅是访问到了Debugport，是否下错断点？ 2012-7-9 08:11 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 11 楼 VMP吧----- 2012-7-9 08:45 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼不是 VMP ,应该 CV 吧 , tmd 虚拟机常用到 2012-7-9 12:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 13 楼我放LZ一码吧... 采用Hook的方法，关键部分： __asm { cmp dword ptr [esp],0 //是否准备执行清0 jne _popjmp //栈顶不为0则跳 cmp edx,DebugPort //是否为目标进程DebugPort jne _popjmp //edx不为DebugPort则跳 add esp,4 //堆栈去除一层，跳过DebugPort清0 jmp JmpAddr //跳 _popjmp: pop dword ptr [edx] //执行覆盖代码 jmp JmpAddr //跳 } 2012-7-9 13:37 0
天法道雪币： 506 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 14 楼重新编译内核，在结构后面位置再一个debugport,把原来的debugport 改成别的名字 2012-7-9 13:50 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 15 楼昨天试了重新编译内核。。。好多软件不支持。。用 XT 无法加载驱动，用 KT 提示操作系统不支持。。。试了很多个 ARK工具。。。都用不了。局限性太大了。。不知道编译内核能不能修改操作系统版本号。。改成正常的版本号。。。 2012-7-9 14:45 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 16 楼 [QUOTE=AioliaSky;1085957]我放LZ一码吧... 采用Hook的方法，关键部分： __asm { cmp dword ptr [esp],0 //是否准备执行清0 jne _popjmp //栈顶不为0则跳 cmp edx,DebugPort //是否为目标进程DebugPort jne _popjm...[/QUOTE] 谢谢大大呢。。。汇编基础不是很好。。。。。我知道 pop edi 是弹出堆栈。。。。。。但是 pop dword ptr [edi] 是什么意思呢我直接把 pop dword ptr [edi] 这句给修改了 ,,会破坏堆栈平衡吗。。。我试过改了直接就蓝屏呢。 2012-7-9 14:59 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 17 楼没错， bpm **** w 写入断点。。。。。我们碰到的T*不一样把。 2012-7-9 15:25 0
更新雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	更新 18 楼都是神人，加我群我告诉你 2012-7-9 20:52 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 19 楼 DebugPort 这只是EPROCESS结构体的成员变量，同时也只是一个调试状态的判定而已，为什么改它还考虑那么多？这应该只是对于软件保护的最几本的方法，都没下钩子哈一些的，看的好眼花，你用windbg把相对进程的EPROCESS + 0xbc 的地方改下这不就完了？要不你还是贴片汇编代码出来吧，我感觉我扯淡了，应该都知道的。求反汇编代码 2012-7-9 21:06 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 20 楼一看就是TP，十年如一日，几十年不更新，http://115.com/file/dpf906no 2012-7-9 22:07 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 21 楼很少Debugport清零的问题。用另类的方法解决了。其中一种是ring3的，不走debugport调试。 2012-7-10 13:17 0
dkxzl 雪币： 287 活跃值： (578) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 25 关注私信	dkxzl 1 22 楼相当厉害，玉哥千万别说你这是从谁谁的地方学到的 2012-7-11 16:07 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 23 楼不走debugport调试?相当给力,不知道如何实现? 2012-7-11 16:23 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 24 楼你说呢，不走debugport还有什么可以走？当然就是EPROCESS的ExceptionPort 首先异常处理是肯定是要有的吧？就是没有自定义处理例程，MS也会给你加上系统自带的SE处理程序。所以exceptionPort是不能被清零的,,,走 2012-7-11 23:43 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 25 楼你至于那么激动嘛，不就是理解错误嘛 2012-7-19 23:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kissxrl

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 2 楼我是用改掉DEBUGPORT偏移+BC的方法。不会去动TX驱动的代码的。 2012-7-9 01:02 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 3 楼请教下你是怎么做的是重新编译内核还是手动修改偏移呀。就是有点不明白新的清零，怎么弄。。有高人指点下吗。 2012-7-9 01:11 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 4 楼是改掉所有调用debugport的内核函数 2012-7-9 01:16 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 5 楼就一个地方。。。流程太复杂呢。。。非要费时间一点点看。。。自己汇编基础不是很好。。。伤了。手动改偏移要改的地方太多呢。。想到就晕。。。改偏移 R0改了。。R3的还要改把。 2012-7-9 01:31 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 6 楼 R3不需要改,要想知道内核中要改哪些函数,看2003的内核源码即可 2012-7-9 01:47 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 7 楼 hook一下上面的地方，然后判断一下edx的值，不管为不为0直接改成0. 2012-7-9 02:45 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼对游戏进程Debugport位置下硬件写入中断，挂钩IDT 1号向量，将捕获到的写入全部改为非0. 2012-7-9 08:07 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 9 楼找一个普通程序对Debugport下断点，然后用OD挂它。就会得到哪些函数使用了Debugport。将其内部定位Debugport(+bc)的代码全部改为EPROCESS内其它位置。 2012-7-9 08:09 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 10 楼楼主错了吧，这里仅仅是访问到了Debugport，是否下错断点？ 2012-7-9 08:11 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 11 楼 VMP吧----- 2012-7-9 08:45 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼不是 VMP ,应该 CV 吧 , tmd 虚拟机常用到 2012-7-9 12:37 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 13 楼我放LZ一码吧... 采用Hook的方法，关键部分： __asm { cmp dword ptr [esp],0 //是否准备执行清0 jne _popjmp //栈顶不为0则跳 cmp edx,DebugPort //是否为目标进程DebugPort jne _popjmp //edx不为DebugPort则跳 add esp,4 //堆栈去除一层，跳过DebugPort清0 jmp JmpAddr //跳 _popjmp: pop dword ptr [edx] //执行覆盖代码 jmp JmpAddr //跳 } 2012-7-9 13:37 0
天法道雪币： 506 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 14 楼重新编译内核，在结构后面位置再一个debugport,把原来的debugport 改成别的名字 2012-7-9 13:50 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 15 楼昨天试了重新编译内核。。。好多软件不支持。。用 XT 无法加载驱动，用 KT 提示操作系统不支持。。。试了很多个 ARK工具。。。都用不了。局限性太大了。。不知道编译内核能不能修改操作系统版本号。。改成正常的版本号。。。 2012-7-9 14:45 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 16 楼 [QUOTE=AioliaSky;1085957]我放LZ一码吧... 采用Hook的方法，关键部分： __asm { cmp dword ptr [esp],0 //是否准备执行清0 jne _popjmp //栈顶不为0则跳 cmp edx,DebugPort //是否为目标进程DebugPort jne _popjm...[/QUOTE] 谢谢大大呢。。。汇编基础不是很好。。。。。我知道 pop edi 是弹出堆栈。。。。。。但是 pop dword ptr [edi] 是什么意思呢我直接把 pop dword ptr [edi] 这句给修改了 ,,会破坏堆栈平衡吗。。。我试过改了直接就蓝屏呢。 2012-7-9 14:59 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 17 楼没错， bpm **** w 写入断点。。。。。我们碰到的T*不一样把。 2012-7-9 15:25 0
更新雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	更新 18 楼都是神人，加我群我告诉你 2012-7-9 20:52 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 19 楼 DebugPort 这只是EPROCESS结构体的成员变量，同时也只是一个调试状态的判定而已，为什么改它还考虑那么多？这应该只是对于软件保护的最几本的方法，都没下钩子哈一些的，看的好眼花，你用windbg把相对进程的EPROCESS + 0xbc 的地方改下这不就完了？要不你还是贴片汇编代码出来吧，我感觉我扯淡了，应该都知道的。求反汇编代码 2012-7-9 21:06 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 20 楼一看就是TP，十年如一日，几十年不更新，http://115.com/file/dpf906no 2012-7-9 22:07 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 21 楼很少Debugport清零的问题。用另类的方法解决了。其中一种是ring3的，不走debugport调试。 2012-7-10 13:17 0
dkxzl 雪币： 287 活跃值： (578) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 25 关注私信	dkxzl 1 22 楼相当厉害，玉哥千万别说你这是从谁谁的地方学到的 2012-7-11 16:07 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 23 楼不走debugport调试?相当给力,不知道如何实现? 2012-7-11 16:23 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 24 楼你说呢，不走debugport还有什么可以走？当然就是EPROCESS的ExceptionPort 首先异常处理是肯定是要有的吧？就是没有自定义处理例程，MS也会给你加上系统自带的SE处理程序。所以exceptionPort是不能被清零的,,,走 2012-7-11 23:43 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 25 楼你至于那么激动嘛，不就是理解错误嘛 2012-7-19 23:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复