[原创]现学现用之windbg的高级玩法外篇二：干掉QQProtect.sys-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (61) ◀ 1 2 3
ZSYL 雪币： 16 活跃值： (425) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 51 楼好帖MARK 2013-12-4 23:54 0
appview 雪币： 712 活跃值： (3767) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 52 楼请问xuetr如何去除QQProtect，谢谢！ 2014-1-16 23:44 0
kuanyin 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kuanyin 53 楼楼主好样的，我争取尽快学习你的精华，也不枉楼主辛苦解说，感谢楼主 2014-2-7 18:04 0
岛主一世雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	岛主一世 54 楼原来windbg竟是如此强大，楼主威武！ 2014-2-8 13:26 0
lingyuner 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	lingyuner 55 楼哈哈谢谢楼主先mark 一会下午看 2014-3-4 11:41 0
指纹好学雪币： 52 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 78 粉丝 0 关注私信	指纹好学 56 楼楼主，我刚开始学习windbg，我按照你说的步骤来分析，前面的都很顺利，可是到了使用!chkimg指令检查了nt模块的所有被修改的数据的时候只是显示如下： kd> !chkimg -d nt 80597fee-80597ff1 4 bytes - nt!KeUserModeCallback+8 [ 1e 0f fa ff:94 a2 9b 31 ] 805a9291-805a9297 7 bytes - nt!MmUnmapViewOfSection+17 (+0x112a3) [ cc cc cc cc cc 8b ff:e9 3a 19 9a 31 eb f9 ] 11 errors : nt (80597fee-805a9297) 只有后面两个，但是SSDT确实有14处被修改，我的系统是xp sp3 vol，只装了windbg，也很干净，看不到以前被修改的值，怎么恢复SSDT呢？？？ 2014-3-26 16:11 0
viden 雪币： 293 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 44 粉丝 1 关注私信	viden 2 57 楼只是学习一下 2014-3-27 10:56 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 58 楼 lz很强悍啊争取搞一个系列的持续关注中…… 2014-3-29 09:20 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 59 楼给力哦，windbg虽然有文档，但英文不太好，看着太累。感谢楼主给我windbg入门提供捷径 2014-3-30 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 60 楼 mark，好文，不mark是不是一年到期就不能回复了 2015-3-7 14:48 0
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 61 楼高手呀，学习！ 2015-3-10 16:51 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 62 楼我擦，膜拜啊！ 2015-3-10 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (61) ◀ 1 2 3
ZSYL 雪币： 16 活跃值： (425) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 51 楼好帖MARK 2013-12-4 23:54 0
appview 雪币： 712 活跃值： (3767) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 52 楼请问xuetr如何去除QQProtect，谢谢！ 2014-1-16 23:44 0
kuanyin 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kuanyin 53 楼楼主好样的，我争取尽快学习你的精华，也不枉楼主辛苦解说，感谢楼主 2014-2-7 18:04 0
岛主一世雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	岛主一世 54 楼原来windbg竟是如此强大，楼主威武！ 2014-2-8 13:26 0
lingyuner 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	lingyuner 55 楼哈哈谢谢楼主先mark 一会下午看 2014-3-4 11:41 0
指纹好学雪币： 52 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 78 粉丝 0 关注私信	指纹好学 56 楼楼主，我刚开始学习windbg，我按照你说的步骤来分析，前面的都很顺利，可是到了使用!chkimg指令检查了nt模块的所有被修改的数据的时候只是显示如下： kd> !chkimg -d nt 80597fee-80597ff1 4 bytes - nt!KeUserModeCallback+8 [ 1e 0f fa ff:94 a2 9b 31 ] 805a9291-805a9297 7 bytes - nt!MmUnmapViewOfSection+17 (+0x112a3) [ cc cc cc cc cc 8b ff:e9 3a 19 9a 31 eb f9 ] 11 errors : nt (80597fee-805a9297) 只有后面两个，但是SSDT确实有14处被修改，我的系统是xp sp3 vol，只装了windbg，也很干净，看不到以前被修改的值，怎么恢复SSDT呢？？？ 2014-3-26 16:11 0
viden 雪币： 293 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 44 粉丝 1 关注私信	viden 2 57 楼只是学习一下 2014-3-27 10:56 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 58 楼 lz很强悍啊争取搞一个系列的持续关注中…… 2014-3-29 09:20 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 59 楼给力哦，windbg虽然有文档，但英文不太好，看着太累。感谢楼主给我windbg入门提供捷径 2014-3-30 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 60 楼 mark，好文，不mark是不是一年到期就不能回复了 2015-3-7 14:48 0
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 61 楼高手呀，学习！ 2015-3-10 16:51 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 62 楼我擦，膜拜啊！ 2015-3-10 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复