win8 下windbg反汇编ZwReadfile函数-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
baccon 雪币： 70 活跃值： (88) 能力值： ( LV5，RANK：70 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	baccon 1 2 楼按F8或F11跟进去，或输“t”，单步跟进。 2013-6-5 00:55 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 3 楼我只是想反汇编一下ZwReadfile这个函数，没有动态调试 2013-6-6 08:12 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 4 楼往上顶.. 2013-6-6 22:15 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 5 楼求大牛解答 2013-6-7 13:28 0
原始病毒雪币： 246 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	原始病毒 1 6 楼直接在windbg里面输入 uf ntdll!NtReadFile+0xd 即可查看该处的代码了 2013-6-7 13:43 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 7 楼不行，反汇编出来的结果跟uf ntdll!ZwReadfile 是一样的 2013-6-7 15:31 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 8 楼把e803000000 这个基址带上试试 2013-6-7 15:34 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 9 楼这个不是基址，是汇编指令对应的16进制... 2013-6-7 17:56 0
babyts 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	babyts 10 楼 win8ms很麻烦的样子 2013-6-8 16:22 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 11 楼确实很麻烦 2013-6-10 09:29 0
禹xiaoyan 雪币： 363 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 50 粉丝 0 关注私信	禹xiaoyan 12 楼已经放了很长时间了，大神快来吧 2013-6-12 20:58 0
chendongl 雪币： 18 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	chendongl 13 楼你就不能用vc自带的反汇编调试吗 2013-6-12 21:19 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 14 楼 Connected to Windows 7 9200 x64 target at (Wed Jun 12 21:39:00.993 2013 (UTC + 8:00)), ptr64 TRUE Symbol search path is: SRVD:\\symbolshttp://symbols.mozilla.org/firefox;SRVD:\\symbolshttp://msdl.microsoft.com/download/symbols;http://chromium-browser-symsrv.commondatastorage.googleapis.com;SRVD:\\symbolshttp://ctxsym.citrix.com/symbols;SRVD:\\symbolshttp://developer.apple.com/internet/safari/windows_symbols Executable search path is: Windows 7 Kernel Version 9200 MP (2 procs) Free x64 Product: Server, suite: TerminalServer DataCenter SingleUserTS Built by: 9200.16581.amd64fre.win8_gdr.130410-1505 Machine Name: Kernel base = 0xfffff803`ab211000 PsLoadedModuleList = 0xfffff803`ab4dda20 Debug session time: Wed Jun 12 21:39:01.243 2013 (UTC + 8:00) System Uptime: 0 days 0:09:15.117 lkd> u ZwReadFile nt!ZwReadFile: fffff803`ab26c0c0 488bc4 mov rax,rsp fffff803`ab26c0c3 fa cli fffff803`ab26c0c4 4883ec10 sub rsp,10h fffff803`ab26c0c8 50 push rax fffff803`ab26c0c9 9c pushfq fffff803`ab26c0ca 6a10 push 10h fffff803`ab26c0cc 488d055d350000 lea rax,[nt!KiServiceLinkage (fffff803`ab26f630)] fffff803`ab26c0d3 50 push rax lkd> u NtReadFile nt!NtReadFile: fffff803`ab6abc80 4c8bdc mov r11,rsp fffff803`ab6abc83 4d894b20 mov qword ptr [r11+20h],r9 fffff803`ab6abc87 4d894318 mov qword ptr [r11+18h],r8 fffff803`ab6abc8b 49895310 mov qword ptr [r11+10h],rdx fffff803`ab6abc8f 53 push rbx fffff803`ab6abc90 56 push rsi fffff803`ab6abc91 57 push rdi fffff803`ab6abc92 4154 push r12 lkd> uf ZwReadFile Flow analysis was incomplete, some code may be missing nt!KiServiceInternal: fffff803`ab26a140 4883ec08 sub rsp,8 fffff803`ab26a144 55 push rbp fffff803`ab26a145 4881ec58010000 sub rsp,158h fffff803`ab26a14c 488dac2480000000 lea rbp,[rsp+80h] fffff803`ab26a154 48899dc0000000 mov qword ptr [rbp+0C0h],rbx fffff803`ab26a15b 4889bdc8000000 mov qword ptr [rbp+0C8h],rdi fffff803`ab26a162 4889b5d0000000 mov qword ptr [rbp+0D0h],rsi fffff803`ab26a169 fb sti fffff803`ab26a16a 65488b1c2588010000 mov rbx,qword ptr gs:[188h] fffff803`ab26a173 0f0d8b90000000 prefetchw [rbx+90h] fffff803`ab26a17a 0fb6bb32020000 movzx edi,byte ptr [rbx+232h] fffff803`ab26a181 40887da8 mov byte ptr [rbp-58h],dil fffff803`ab26a185 c6833202000000 mov byte ptr [rbx+232h],0 fffff803`ab26a18c 4c8b9390000000 mov r10,qword ptr [rbx+90h] fffff803`ab26a193 4c8995b8000000 mov qword ptr [rbp+0B8h],r10 fffff803`ab26a19a 4c8d1d3d010000 lea r11,[nt!KiSystemServiceStart (fffff803`ab26a2de)] fffff803`ab26a1a1 41ffe3 jmp r11 nt!ZwReadFile: fffff803`ab26c0c0 488bc4 mov rax,rsp fffff803`ab26c0c3 fa cli fffff803`ab26c0c4 4883ec10 sub rsp,10h fffff803`ab26c0c8 50 push rax fffff803`ab26c0c9 9c pushfq fffff803`ab26c0ca 6a10 push 10h fffff803`ab26c0cc 488d055d350000 lea rax,[nt!KiServiceLinkage (fffff803`ab26f630)] fffff803`ab26c0d3 50 push rax fffff803`ab26c0d4 b804000000 mov eax,4 fffff803`ab26c0d9 e962e0ffff jmp nt!KiServiceInternal (fffff803`ab26a140) 2013-6-12 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

baccon

雪币： 70

活跃值： (88)

能力值：

( LV5，RANK：70 )

在线值：

发帖

15

回帖

91

粉丝

0

关注

私信

baccon 1: 2 楼

按F8或F11跟进去，或输“t”，单步跟进。

2013-6-5 00:55

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 3 楼

我只是想反汇编一下ZwReadfile这个函数，没有动态调试

2013-6-6 08:12

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 4 楼

往上顶..

2013-6-6 22:15

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 5 楼

求大牛解答

2013-6-7 13:28

0

原始病毒

雪币： 246

活跃值： (25)

能力值：

( LV4，RANK：50 )

在线值：

发帖

3

回帖

18

粉丝

0

关注

私信

原始病毒 1: 6 楼

直接在windbg里面输入
uf ntdll!NtReadFile+0xd
即可查看该处的代码了

2013-6-7 13:43

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 7 楼

不行，反汇编出来的结果跟uf ntdll!ZwReadfile 是一样的

2013-6-7 15:31

0

baohongyu

雪币： 306

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

29

回帖

211

粉丝

0

关注

私信

baohongyu: 8 楼

把e803000000 这个基址带上试试

2013-6-7 15:34

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 9 楼

这个不是基址，是汇编指令对应的16进制...

2013-6-7 17:56

0

babyts

雪币： 35

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

2

粉丝

0

关注

私信

babyts: 10 楼

win8ms很麻烦的样子

2013-6-8 16:22

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 11 楼

确实很麻烦

2013-6-10 09:29

0

禹xiaoyan

雪币： 363

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

50

粉丝

0

关注

私信

禹xiaoyan: 12 楼

已经放了很长时间了，大神快来吧

2013-6-12 20:58

0

chendongl

雪币： 18

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

11

粉丝

0

关注

私信

chendongl: 13 楼

你就不能用vc自带的反汇编调试吗

2013-6-12 21:19

0

ybhdgggset

雪币： 959

活跃值： (66)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

141

粉丝

0

关注

私信

ybhdgggset: 14 楼

Connected to Windows 7 9200 x64 target at (Wed Jun 12 21:39:00.993 2013 (UTC + 8:00)), ptr64 TRUE
Symbol search path is: SRV*D:\\symbols*http://symbols.mozilla.org/firefox;SRV*D:\\symbols*http://msdl.microsoft.com/download/symbols;http://chromium-browser-symsrv.commondatastorage.googleapis.com;SRV*D:\\symbols*http://ctxsym.citrix.com/symbols;SRV*D:\\symbols*http://developer.apple.com/internet/safari/windows_symbols
Executable search path is: 
Windows 7 Kernel Version 9200 MP (2 procs) Free x64
Product: Server, suite: TerminalServer DataCenter SingleUserTS
Built by: 9200.16581.amd64fre.win8_gdr.130410-1505
Machine Name:
Kernel base = 0xfffff803`ab211000 PsLoadedModuleList = 0xfffff803`ab4dda20
Debug session time: Wed Jun 12 21:39:01.243 2013 (UTC + 8:00)
System Uptime: 0 days 0:09:15.117
lkd> u ZwReadFile
nt!ZwReadFile:
fffff803`ab26c0c0 488bc4          mov     rax,rsp
fffff803`ab26c0c3 fa              cli
fffff803`ab26c0c4 4883ec10        sub     rsp,10h
fffff803`ab26c0c8 50              push    rax
fffff803`ab26c0c9 9c              pushfq
fffff803`ab26c0ca 6a10            push    10h
fffff803`ab26c0cc 488d055d350000  lea     rax,[nt!KiServiceLinkage (fffff803`ab26f630)]
fffff803`ab26c0d3 50              push    rax
lkd> u NtReadFile
nt!NtReadFile:
fffff803`ab6abc80 4c8bdc          mov     r11,rsp
fffff803`ab6abc83 4d894b20        mov     qword ptr [r11+20h],r9
fffff803`ab6abc87 4d894318        mov     qword ptr [r11+18h],r8
fffff803`ab6abc8b 49895310        mov     qword ptr [r11+10h],rdx
fffff803`ab6abc8f 53              push    rbx
fffff803`ab6abc90 56              push    rsi
fffff803`ab6abc91 57              push    rdi
fffff803`ab6abc92 4154            push    r12
lkd> uf ZwReadFile
Flow analysis was incomplete, some code may be missing
nt!KiServiceInternal:
fffff803`ab26a140 4883ec08        sub     rsp,8
fffff803`ab26a144 55              push    rbp
fffff803`ab26a145 4881ec58010000  sub     rsp,158h
fffff803`ab26a14c 488dac2480000000 lea     rbp,[rsp+80h]
fffff803`ab26a154 48899dc0000000  mov     qword ptr [rbp+0C0h],rbx
fffff803`ab26a15b 4889bdc8000000  mov     qword ptr [rbp+0C8h],rdi
fffff803`ab26a162 4889b5d0000000  mov     qword ptr [rbp+0D0h],rsi
fffff803`ab26a169 fb              sti
fffff803`ab26a16a 65488b1c2588010000 mov   rbx,qword ptr gs:[188h]
fffff803`ab26a173 0f0d8b90000000  prefetchw [rbx+90h]
fffff803`ab26a17a 0fb6bb32020000  movzx   edi,byte ptr [rbx+232h]
fffff803`ab26a181 40887da8        mov     byte ptr [rbp-58h],dil
fffff803`ab26a185 c6833202000000  mov     byte ptr [rbx+232h],0
fffff803`ab26a18c 4c8b9390000000  mov     r10,qword ptr [rbx+90h]
fffff803`ab26a193 4c8995b8000000  mov     qword ptr [rbp+0B8h],r10
fffff803`ab26a19a 4c8d1d3d010000  lea     r11,[nt!KiSystemServiceStart (fffff803`ab26a2de)]
fffff803`ab26a1a1 41ffe3          jmp     r11

nt!ZwReadFile:
fffff803`ab26c0c0 488bc4          mov     rax,rsp
fffff803`ab26c0c3 fa              cli
fffff803`ab26c0c4 4883ec10        sub     rsp,10h
fffff803`ab26c0c8 50              push    rax
fffff803`ab26c0c9 9c              pushfq
fffff803`ab26c0ca 6a10            push    10h
fffff803`ab26c0cc 488d055d350000  lea     rax,[nt!KiServiceLinkage (fffff803`ab26f630)]
fffff803`ab26c0d3 50              push    rax
fffff803`ab26c0d4 b804000000      mov     eax,4
fffff803`ab26c0d9 e962e0ffff      jmp     nt!KiServiceInternal (fffff803`ab26a140)

2013-6-12 21:41

0

[旧帖] win8 下windbg反汇编ZwReadfile函数 0.00雪花