首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]过TP双机调试windbg重启
发表于: 2012-10-11 17:34 6670

[求助]过TP双机调试windbg重启

WFsong 活跃值
2012-10-11 17:34
6670
按照常规思路:
直接返回KdDisableDebugger

绕过循环和mov     dword ptr [ecx],eax   的KdpStub 赋值。

然后一旦g运行就windbg就重启,如下。求各位大大指导下!

Shutdown occurred at (Thu Oct 11 16:25:14.265 2012 (UTC + 8:00))...unloading all symbol tables.
Waiting to reconnect...
Connected to Windows XP 2600 x86 compatible target at (Thu Oct 11 16:25:14.984 2012 (UTC + 8:00)), ptr64 FALSE
Kernel Debugger connection established.  (Initial Breakpoint requested)

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 1
支持
分享
最新回复 (9)
惊电
雪    币: 209
活跃值: (778)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
kdcom.dll中的两个函数被挂钩,恢复即重启
还有两个内核线程,恢复即重启
2012-10-11 21:09
0
WFsong
雪    币: 381
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
多谢提供思路,我试下,先谢谢了!
2012-10-12 09:37
0
WFsong
雪    币: 381
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
过重启的思路还是只能干掉检测代码?清问我这边理解有没问题?
2012-10-12 17:20
0
zhuhuayu
雪    币: 10
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
2楼说的好像不对啊,那两个函数不是问题的关键吧
2012-10-12 23:58
0
WFsong
雪    币: 381
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
确实是那两个挂钩函数的问题。多谢了!之前我理解有误,以为那两个挂钩函数只是与调试信息接收相关!
2012-10-13 11:46
0
惊电
雪    币: 209
活跃值: (778)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
以前TP挂钩这两个函数是为了阻止双机调试发送调试消息的,
前不久一次TP更新后增加了对这几个函数挂钩的检测,
KdReceivePacket  //串口接收数据包,恢复即重启
KdSendPacket  //串口发送数据包,恢复即重启
要干掉它的检测代码
2012-10-13 15:42
0
WFsong
雪    币: 381
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
直接用virtualKD代替了。呵
2012-10-15 18:09
0
asdsugar
雪    币: 61
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
virtualKD 是什么求解
2013-3-24 15:30
0
WFsong
雪    币: 381
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
搜索之。。。。
2013-3-26 11:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//