首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]对调试模式卡死的一处分析
发表于: 2013-7-11 13:58 7061

[原创]对调试模式卡死的一处分析

IDGHOST 活跃值
2013-7-11 13:58
7061

无意中的按下了print键,包括开一些游戏,系统立刻卡在那里,偏偏又不蓝给你看。
在各位友人帮助下,连接好了串口间的调试传送。
调试环境:win7 x32旗舰版/vm  系统:.iso安装

虽用同样iso安装,vm下的却正确,于是我移植了ntkrlpa过去,果然又卡住了。

nt!RtlpBreakWithStatusInstruction:
83ea3834 cc              int     3

0: kd> kv
8b8fc728 83e77a6d 85f1c000 86572020 8b8fc754 i8042prt!I8042KeyboardInterruptService+0x431 (FPO: [Non-Fpo])

0: kd> u i8042prt!I8042KeyboardInterruptService+0x431
i8042prt!I8042KeyboardInterruptService+0x431:
8e6bf8cb c745fcfeffffff  mov     dword ptr [ebp-4],0FFFFFFFEh

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (8)
supercolin
雪    币: 1711
活跃值: (516)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
2
开了debug mode按printscreen是会断下来
2013-7-12 13:02
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
3
貌似有的系统不会
2013-7-12 13:46
0
zmworm
雪    币: 5340
活跃值: (598)
能力值: (RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
网上问这个问题的人挺多的,一按print screen 键就死机,估计都是开了调试模式导致的
2013-7-12 14:56
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
5
想问问如果我要修改这个模块文件作为补丁,因为该处位置它有重定位所以出错,那可以通过什么办法呢?注:loadpe的重建pe无效。
2013-7-12 15:06
0
JessieWang
雪    币: 28
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
6
试试直接用十六进制编辑器改,然后setcsum呢
2013-7-12 15:29
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
7
就是这么改的,重启后发现jmp的立即数和几个nop被改成起的其他的,原始的地址有dword[KdDebuggerNotPresent]
2013-7-12 15:39
0
JessieWang
雪    币: 28
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
[QUOTE=IDGHOST;1198241]就是这么改的,重启后发现jmp的立即数和几个nop被改成起的其他的,原始的地址有dword[KdDebuggerNotPresent][/QUOTE]

那就是sys文件会检查签名的吧?
2013-7-12 15:41
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
9
没有检查签名,只是因为有重定位在。
2013-7-12 15:55
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//