首页
社区
课程
招聘
[讨论]关于XP的三处debugport清零
发表于: 2012-12-25 12:47 7434

[讨论]关于XP的三处debugport清零

2012-12-25 12:47
7434

处理掉一下五个函数:
  NtOpenProcess
  NtOpenThread
  KiAttachProcess
  NtReadVirtualMemory
  NtWriteVirtualMemory
接下来说下debugprot清零
http://bbs.pediy.com/showthread.php?p=908680
在 ggdd 的帖子里对前两处清零做了很详细的分析。
那我就分析下第三处清零。

A51D2470    78 65    js     A51D24D7
A51D2472    01FB            add    ebx, edi
A51D2474    8B3C24    mov    edi, dword ptr [esp]
A51D2477    83C4 04    add    esp, 4
A51D247A    E9 5BF4FFFF    jmp    A51D18DA
A51D247F    8F02            pop    dword ptr [edx]  //在这里做了清零,此时的栈顶值为0,edx就是debugport地址。出栈指令POP:把栈顶的一个字传送至指定的目的操作数。
A51D2481    E9 30E6FFFF  jmp    A51D0AB6
A51D2486    83C4 04    add    esp, 4
A51D2489    E9 C6EDFFFF  jmp    A51D1254
A51D248E    89E3    mov    ebx, esp

绕过第三处清零:
我的做法很简单,就是在函数头直接写入{0xC3,0x90};
当然这种做法可能有错误。导致我调试器附加后,无限网络连接中段。
求解,这是为什么?大牛看见不要沉默呀!

如何找到第三处清零:
做法和前两两处一模一样。关于传送的中的监测的点,好像不能说出来的样子,很多帖子都没说,
我就提示一些,如果有人在你的代码空间里乱涂乱画,你要怎么监视?

第一次发帖,而且还是刚注册的临时会员,申请个邀请码。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 6
支持
分享
最新回复 (7)
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
同问,我也这情况!
2012-12-25 20:36
0
雪    币: 169
活跃值: (381)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我也是这种情况,求解
2012-12-26 16:21
0
雪    币: 241
活跃值: (35)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
inline hook.

if( isGameDebugport(edx))
{
        add  esp, 4      
        jmp  hook_addr + hook_size
}
else
{
    pop  dword ptr[edx]
    jmp  hook_addr + hook_size
}
2013-1-24 03:36
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
过掉TP后  壳 让你无法查找基址  无法正常追踪是怎么解决的
2013-1-24 14:50
0
雪    币: 42
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
话说先在TP又多了一处检测了吧
2013-3-27 09:06
0
雪    币: 8
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
tp清0
2013-6-5 12:37
0
雪    币: 217
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
[QUOTE=haoshuaioo;1137618]inline hook.

if( isGameDebugport(edx))
{
        add  esp, 4      
        jmp  hook_addr + hook_size
}
else
{
    pop  dword ptr[edx]
   ...[/QUOTE]

好办法。
2013-6-17 16:15
0
游客
登录 | 注册 方可回帖
返回
//