[求助][求助]KiDebugService 究竟有些什么功能?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 2 楼只知道0x2E是干什么的。。。0x2D听说过没见过。。。 2013-1-19 08:46 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 3 楼 DbgPrint。。。。哈哈哈。。。你懂得，我就HOOK过 2013-1-19 09:27 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼你可以加我qq 2013-1-19 09:28 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 5 楼我后来看了资料DgbPrint就是用的int 2d,我开始Hook这个中断,然后在里面打印,哈哈,悲催的事情就是蓝了,搞了好几次才知道! 2013-1-19 15:34 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 6 楼另外问一下,我32位的驱动,怎么搞成64位的驱动,跑在win7上?不会要全部重新写过吧? 2013-1-19 15:37 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 7 楼这要看你怎么写的。普通的文件过滤驱动什么的可以直接重新编译了用。Hook SSDT等的不行。另外64位系统的驱动必须有合法的数字签名，否则系统会拒绝加载。 2013-1-19 22:51 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 8 楼因为以前写的驱动地址都是直接从PVOID(ULONG)转换来的,现在64位估计不能这样转换了, 还有以前也有很多ULONG=(PVOID)的,现在地址是64位,的,肯定要错,应该要用ULONGULONG了吧 2013-1-20 17:22 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 9 楼用ULONGLONG的话，32位就不太好了（效率，空间）。应该用ULONG_PTR。这样32位的环境自动是32位的，64位的就自动是64位的。其他的，比如说LONG -> LONG_PTR同理。指针与整数的互相转换要用专用的，名字带_PTR后缀的类型。例如DWORD_PTR（应用程序），ULONG_PTR（应用程序，驱动）。 2013-1-22 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 2 楼只知道0x2E是干什么的。。。0x2D听说过没见过。。。 2013-1-19 08:46 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 3 楼 DbgPrint。。。。哈哈哈。。。你懂得，我就HOOK过 2013-1-19 09:27 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼你可以加我qq 2013-1-19 09:28 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 5 楼我后来看了资料DgbPrint就是用的int 2d,我开始Hook这个中断,然后在里面打印,哈哈,悲催的事情就是蓝了,搞了好几次才知道! 2013-1-19 15:34 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 6 楼另外问一下,我32位的驱动,怎么搞成64位的驱动,跑在win7上?不会要全部重新写过吧? 2013-1-19 15:37 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 7 楼这要看你怎么写的。普通的文件过滤驱动什么的可以直接重新编译了用。Hook SSDT等的不行。另外64位系统的驱动必须有合法的数字签名，否则系统会拒绝加载。 2013-1-19 22:51 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 8 楼因为以前写的驱动地址都是直接从PVOID(ULONG)转换来的,现在64位估计不能这样转换了, 还有以前也有很多ULONG=(PVOID)的,现在地址是64位,的,肯定要错,应该要用ULONGULONG了吧 2013-1-20 17:22 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 9 楼用ULONGLONG的话，32位就不太好了（效率，空间）。应该用ULONG_PTR。这样32位的环境自动是32位的，64位的就自动是64位的。其他的，比如说LONG -> LONG_PTR同理。指针与整数的互相转换要用专用的，名字带_PTR后缀的类型。例如DWORD_PTR（应用程序），ULONG_PTR（应用程序，驱动）。 2013-1-22 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复