首页
社区
课程
招聘
[原创]现学现用之windbg的高级玩法外篇二:干掉QQProtect.sys
发表于: 2013-10-2 00:17 58907

[原创]现学现用之windbg的高级玩法外篇二:干掉QQProtect.sys

2013-10-2 00:17
58907
收藏
免费 6
支持
分享
最新回复 (61)
雪    币: 16
活跃值: (425)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
好帖MARK
2013-12-4 23:54
0
雪    币: 712
活跃值: (3767)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
52
请问xuetr如何去除QQProtect,谢谢!
2014-1-16 23:44
0
雪    币: 201
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
楼主好样的,我争取尽快学习你的精华,也不枉楼主辛苦解说,感谢楼主
2014-2-7 18:04
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
原来windbg竟是如此强大,楼主威武!
2014-2-8 13:26
0
雪    币: 44
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
哈哈 谢谢楼主 先mark 一会下午看
2014-3-4 11:41
0
雪    币: 52
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
楼主,我刚开始学习windbg,我按照你说的步骤来分析,前面的都很顺利,可是到了使用!chkimg指令检查了nt模块的所有被修改的数据的时候只是显示如下:
kd>  !chkimg -d nt
    80597fee-80597ff1  4 bytes - nt!KeUserModeCallback+8
        [ 1e 0f fa ff:94 a2 9b 31 ]
    805a9291-805a9297  7 bytes - nt!MmUnmapViewOfSection+17 (+0x112a3)
        [ cc cc cc cc cc 8b ff:e9 3a 19 9a 31 eb f9 ]
11 errors : nt (80597fee-805a9297)
只有后面两个,但是SSDT确实有14处被修改,我的系统是xp sp3 vol,只装了windbg,也很干净,看不到以前被修改的值,怎么恢复SSDT呢???
2014-3-26 16:11
0
雪    币: 293
活跃值: (45)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
57
只是学习一下
2014-3-27 10:56
0
雪    币: 2559
活跃值: (176)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
58
lz很强悍啊 争取搞一个系列的 持续关注中……
2014-3-29 09:20
0
雪    币: 11
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
给力哦,windbg虽然有文档,但英文不太好,看着太累。感谢楼主给我windbg入门提供捷径
2014-3-30 08:43
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
60
mark,好文,不mark是不是一年到期就不能回复了
2015-3-7 14:48
0
雪    币: 406
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
高手呀,学习!
2015-3-10 16:51
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
62
我擦,膜拜啊!
2015-3-10 21:45
0
游客
登录 | 注册 方可回帖
返回
//