首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]绕KeAttachProcess
发表于: 2013-12-29 15:25 4672

[求助]绕KeAttachProcess

迷城 活跃值
2013-12-29 15:25
4672
lkd> u 804f2340
nt!KiMoveApcState+0x59:
804f2340 90              nop
804f2341 90              nop
804f2342 90              nop
804f2343 90              nop
804f2344 90              nop
nt!KeAttachProcess:
804f2345 b8568065a4      mov     eax,0A4658056h
804f234a ffe0            jmp     eax
804f234c 64a124010000    mov     eax,dword ptr fs:[00000124h]

KeAttachProcess  起始地址是804f2345    有检测,不能改
从上面的804f2340加自己的jmp_lin, 返回804f234c
这样可以过掉KeAttachProcess吗?没看到KiAttachProcess 有被Hook的地方
为什么还是不能OD附加

请过掉这个的朋友指点一下

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
迷城
雪    币: 302
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
请给菜菜一点帮助。。。。。
2013-12-29 15:28
0
b23526
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
不能调试是内核线程作怪,只能说到这里了,再多说就没意思了
2013-12-29 15:48
0
永远的神话
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我最喜欢的检测登陆器调试程序。然后你去OD附加程序,结果就惨了
2013-12-29 16:13
0
迷城
雪    币: 302
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
jmp AB0C54D0
mov eax, A4658056
jmp eax
mov eax, dword ptr fs:[124]
驱动加载后就是这样的

楼上的朋友,再多点提示嘛。。比如内核线程的名啊什么的。。至少不会弄错对象走上弯路
2013-12-29 16:18
0
迷城
雪    币: 302
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
楼上朋友说的是   128 NtOpenThread  这个吗?
多点再多点提示好不好
2013-12-29 16:25
0
迷城
雪    币: 302
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
DebugPort 清0  是不是也能让OD无法附加?

清0 还没弄好。。。

是不是这个原因
2013-12-29 16:31
0
cqzj70
雪    币: 77
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
如果清零就不是不能附加的问题勒
2014-1-1 20:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//