能力值:
( LV2,RANK:10 )
|
-
-
2 楼
PsSetLoadImageNotifyRoutine
在他加载的时候 直接修改他的函数跳回原来的函数
但是我试过 不行 是不是时机的问题呢
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
3 楼
先开虚拟机双机调试,再断KdDisableDebugger,
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
此贴已删除
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
5 楼
可是kd工具却能知道它被 hook 了
他是检查的ntoskrnl的IAT表
TP是直接HOOK的IAT
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
6 楼
我别的都解决了,现在卡在KdpStub函数地址这里。
怎么获取这个函数地址呢!!
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
在KdDisableDebugger 里面的 KiDebugRoutine里面搜索
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
8 楼
得不到,在双机调试的时候,KiDebugRoutine己经设置成KdTrap了,必须要用其他方法来获得。最好是正常方式。比如IAT之类的。但是现在有点迷茫。
|
|
|
-
-
9 楼
是TP吗,我现在虚拟机中,只要在调试模式,TP一加载就兰屏啊,有解吗
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
10 楼
是的。现在我就差得到KdpStub的函数地址,就可以双机调试了
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
HP好像是把Kdb里的端口清0
|
能力值:
( LV6,RANK:80 )
在线值:
|
-
-
12 楼
VisualKD不能用吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
兄台,我跟你一样。
我开始还以为是操作系统的缘故,
我以前主机是XP+虚拟机(XP),
现在主机换成了WIN7(64位)+虚拟机(XP)。
|
|
|
-
-
14 楼
那现在还兰吗
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
还是蓝,
我还专门下载了泡泡堂,弄它的双机,结果OK的,
说明是DNF的问题。
每次在调试模式时,一开DNF马上出现了严重错误0x99999999。
不知道它怎么搞的。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
 一样啊....咱开始还以为是虚拟机问题 反正开着virtualKD就会出0x99999999
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
17 楼
我的跟你们一样,VMware运行DNF就直接蓝屏,还是什么都不开,在内核调试模式下,就蓝屏。。。。
|
能力值:
( LV9,RANK:160 )
|
-
-
18 楼
只要双机调试就会去执行到这
Txxxxxe+0x4a8d4:
f053f8d4 8da424f8ffffff lea esp,[esp-8]
f053f8db 89b4240c000000 mov dword ptr [esp+0Ch],esi
f053f8e2 8da42408000000 lea esp,[esp+8]
f053f8e9 58 pop eax
f053f8ea 8b3424 mov esi,dword ptr [esp]
f053f8ed 89b42404000000 mov dword ptr [esp+4],esi
f053f8f4 c784240800000099999999 mov dword ptr [esp+8],99999999h
f053f8ff 8bb42404000000 mov esi,dword ptr [esp+4]
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
此贴已删除
|
能力值:
( LV9,RANK:160 )
|
-
-
20 楼
内核编程,及内核调试.
关于调试可以看电子书<<软件调试>>
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
此贴已删除
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
22 楼
windbg 如何进入 user mode ?
谢谢 !
|
|
|
|
