能力值:
( LV2,RANK:10 )
|
-
-
2 楼
沙发是我的
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
板凳也是我的
个人见解:看雪不太适合发表新人学习和共享学习资料的地方了
一个刚满18岁小伙研究2星期,把自己研究的心得发出来,招来各位传说中的大牛各种喷
又是讲的不好,又是满大街烂货 试想,你18岁时算个啥?
如果一个爱好者学习了的成果,发出来没得到鼓励,反而是各种BS,何来讨论和学习进步,不要觉得你懂了,就满世界的人都懂了,人得思路是不同的
不要拿你得理解去理解全世界的人,BS会了的不共享的却说风凉话的人,鼓励新人进步
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
顶一下,继续加油
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
很好啊,楼主最好做一个视频教程啊
|
能力值:
( LV5,RANK:60 )
|
-
-
8 楼
假如能找到防的方法的话,那么工作就有着落了。
能够过CRC的话比清零要受关注很多。
本小菜学习了。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
顶一下,占个位置
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
楼主的详解debugport清0看来不够详解啊,并没用说明debugport在应用层与驱动层之间怎么交互,为什么把debugport改了调试器就收不到调试信号了,调试器怎么与debugport交互的,如果把这些理清楚了,求个精华应该不是什么问题吧,至于楼主的通过对debugport下访问断点的方式,已经烂大街了,也没什么必要发出来
|
能力值:
( LV7,RANK:110 )
|
-
-
11 楼
还是没有说清楚啊,你是怎么发现debugport清零的位置的,这才是重点,如何进行内核调试的.
|
能力值:
( LV9,RANK:160 )
|
-
-
12 楼
写的的不错应该看过萝卜老兄的教程
不过清0 方法很多
我更喜欢找全局变量,这样只要修改四个字节就OK了
|
能力值:
( LV3,RANK:20 )
|
-
-
13 楼
为什么只看到了结果,没看到过程呢...比如说 如何找到debugport清零的地址的 神马的..
|
能力值:
( LV3,RANK:20 )
|
-
-
14 楼
怎么找到的我有提到过一点,下内存访问断点,持续多次,看下值,反汇编代码。不过让楼上的这位仁兄cdty 说成是已经烂大街了,也没什么必要发出来。
|
能力值:
( LV7,RANK:110 )
|
-
-
15 楼
呵呵,你应该写篇能让我们这些新人学到东西的文章;你应该告诉我们为什么这么做,而不是告诉我们如何做;注重自己的做法,不要在意人家的说法,才能走的远.加油!
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
强烈围观,围观中....
|
能力值:
( LV9,RANK:160 )
|
-
-
17 楼
我来说说这东西吧~~~~
1.首先找到该进程的EPROCESS结构的址
在WinDbg 命令行输入!process 0 0得到EPROCESS结构的址
lkd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 84648268 SessionId: 0 Cid: 0344 Peb: 7ffd7000 ParentCid: 02f4
DirBase: 18ca7000 ObjectTable: e14cca28 HandleCount: 272.
Image: winlogon.exe
2. 再在命令行输入dt _EPROCESS 84648268
lkd> dt _EPROCESS 84648268
nt!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x06c ProcessLock : _EX_PUSH_LOCK
+0x070 CreateTime : _LARGE_INTEGER 0x1cd84d5`34f2da66
+0x078 ExitTime : _LARGE_INTEGER 0x0
+0x080 RundownProtect : _EX_RUNDOWN_REF
+0x084 UniqueProcessId : 0x00000344 Void
+0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x84652d90 - 0x846c6e28 ]
+0x090 QuotaUsage : [3] 0x1c90
+0x09c QuotaPeak : [3] 0x23c0
+0x0a8 CommitCharge : 0x49a
+0x0ac PeakVirtualSize : 0x368f000
+0x0b0 VirtualSize : 0x3342000
+0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0x84652dbc - 0x846c6e54 ]
+0x0bc DebugPort : (null)
+0x0c0 ExceptionPort : 0xe1631df0 Void
+0x0c4 ObjectTable : 0xe14cca28 _HANDLE_TABLE
+0x0c8 Token : _EX_FAST_REF
+0x0cc WorkingSetLock : _FAST_MUTEX
+0x0ec WorkingSetPage : 0x18caa
+0x0f0 AddressCreationLock : _FAST_MUTEX
+0x110 HyperSpaceLock : 0
+0x114 ForkInProgress : (null)
+0x118 HardwareTrigger : 0
+0x11c VadRoot : 0x8464f008 Void
+0x120 VadHint : 0x8464f008 Void
+0x124 CloneRoot : (null)
+0x128 NumberOfPrivatePages : 0x25b
+0x12c NumberOfLockedPages : 0
+0x130 Win32Process : 0xe1803610 Void
+0x134 Job : (null)
+0x138 SectionObject : 0xe14e5680 Void
+0x13c SectionBaseAddress : 0x01000000 Void
+0x140 QuotaBlock : 0x8056a700 _EPROCESS_QUOTA_BLOCK
+0x144 WorkingSetWatch : (null)
+0x148 Win32WindowStation : 0x000000a8 Void
+0x14c InheritedFromUniqueProcessId : 0x000002f4 Void
+0x150 LdtInformation : (null)
+0x154 VadFreeHint : (null)
+0x158 VdmObjects : (null)
+0x15c DeviceMap : 0xe1008780 Void
+0x160 PhysicalVadList : _LIST_ENTRY [ 0x846483c8 - 0x846483c8 ]
+0x168 PageDirectoryPte : _HARDWARE_PTE
+0x168 Filler : 0
+0x170 Session : 0xf7bc7000 Void
+0x174 ImageFileName : [16] "winlogon.exe"
+0x184 JobLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
+0x18c LockedPagesList : (null)
+0x190 ThreadListHead : _LIST_ENTRY [ 0x8471cb7c - 0x8450f24c ]
+0x198 SecurityPort : (null)
+0x19c PaeTop : (null)
+0x1a0 ActiveThreads : 0x10
+0x1a4 GrantedAccess : 0x1f0fff
+0x1a8 DefaultHardErrorProcessing : 0x8000
+0x1ac LastThreadExitStatus : 0n0
+0x1b0 Peb : 0x7ffd7000 _PEB
+0x1b4 PrefetchTrace : _EX_FAST_REF
+0x1b8 ReadOperationCount : _LARGE_INTEGER 0x11b
+0x1c0 WriteOperationCount : _LARGE_INTEGER 0x68
+0x1c8 OtherOperationCount : _LARGE_INTEGER 0xcf7
+0x1d0 ReadTransferCount : _LARGE_INTEGER 0x3e76d4
+0x1d8 WriteTransferCount : _LARGE_INTEGER 0x1f97
+0x1e0 OtherTransferCount : _LARGE_INTEGER 0x1bbe4
+0x1e8 CommitChargeLimit : 0
+0x1ec CommitChargePeak : 0x646
+0x1f0 AweInfo : (null)
+0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
+0x1f8 Vm : _MMSUPPORT
+0x238 LastFaultCount : 0
+0x23c ModifiedPageCount : 0x51a
+0x240 NumberOfVads : 0xa1
+0x244 JobStatus : 0
+0x248 Flags : 0x50800
+0x248 CreateReported : 0y0
+0x248 NoDebugInherit : 0y0
+0x248 ProcessExiting : 0y0
+0x248 ProcessDelete : 0y0
+0x248 Wow64SplitPages : 0y0
+0x248 VmDeleted : 0y0
+0x248 OutswapEnabled : 0y0
+0x248 Outswapped : 0y0
+0x248 ForkFailed : 0y0
+0x248 HasPhysicalVad : 0y0
+0x248 AddressSpaceInitialized : 0y10
+0x248 SetTimerResolution : 0y0
+0x248 BreakOnTermination : 0y0
+0x248 SessionCreationUnderway : 0y0
+0x248 WriteWatch : 0y0
+0x248 ProcessInSession : 0y1
+0x248 OverrideAddressSpace : 0y0
+0x248 HasAddressSpace : 0y1
+0x248 LaunchPrefetched : 0y0
+0x248 InjectInpageErrors : 0y0
+0x248 VmTopDown : 0y0
+0x248 Unused3 : 0y0
+0x248 Unused4 : 0y0
+0x248 VdmAllowed : 0y0
+0x248 Unused : 0y00000 (0)
+0x248 Unused1 : 0y0
+0x248 Unused2 : 0y0
+0x24c ExitStatus : 0n259
+0x250 NextPageColor : 0xd6e1
+0x252 SubSystemMinorVersion : 0 ''
+0x253 SubSystemMajorVersion : 0x4 ''
+0x252 SubSystemVersion : 0x400
+0x254 PriorityClass : 0x3 ''
+0x255 WorkingSetAcquiredUnsafe : 0 ''
+0x258 Cookie : 0x353f16cb
3. 找到DebugPort 看看 DebugPort 的偏移是多少我的是0xbc
4.EPROCESS的的地址及DebugPort 偏移都找到了就可以开工了
在命令行输入ba w1 EPROCESS + 0xbc
这条命令:谁对这个地址进行了写的操作,g一下就可以看到清0的地方......
|
能力值:
( LV7,RANK:110 )
|
-
-
18 楼
可以结贴了,还是楼上简单明了,学习一下.
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
mark~~~~~~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
那个幸福说的不错
3q
|
能力值:
( LV3,RANK:20 )
|
-
-
21 楼
如果我是一个想进步的新人, 我就从来不惧怕 高手骂我喷我 -- 只要他们喷我的时候有只言片语的指点, 而不是仅仅喷完走人那种就行.
怕喷 就别TMD来发帖. 想进步就别TMD怕喷.
欢迎大家喷我, (只要不是单纯的人身攻击) 喷 -- 是直白的思维碰撞.
|
能力值:
( LV5,RANK:70 )
|
-
-
22 楼
Tp会加载两次,第一次是假的。对于NtOpenProcess的中继函数处理。
。第一次启动做的事情是XXPELOAD。。。并不是所谓假的。。。。
|
能力值:
( LV3,RANK:20 )
|
-
-
23 楼
嗯,是我表达错误。
|
能力值:
( LV3,RANK:20 )
|
-
-
24 楼
tp有VM???
|
能力值:
( LV3,RANK:20 )
|
-
-
25 楼
有的。
|
|
|