[原创]某驱动的内核调试检测学习内核调试引擎加载机制-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某驱动的内核调试检测学习内核调试引擎加载机制

发表于: 2014-3-29 02:13 74536

[原创]某驱动的内核调试检测学习内核调试引擎加载机制

毁灭

2014-3-29 02:13

74536

查看主题内容

收藏・246

免费・7

支持

最新回复 (111) ◀ 1 2 3 4 5 ▶
’’’hate 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 50 粉丝 0 关注私信	’’’hate 77 楼你是吾爱破解版主？ 2014-8-10 19:57 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 78 楼怎么可能、、、 2014-8-10 20:22 0
bingkan 雪币： 28 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	bingkan 79 楼对KdEnteredDebugger的定位的确有点疑问 ba r4 KdEnteredDebugger 只后g一下虚拟机直接就死掉了，不知道为什么…… 楼主是怎么定位到它访问这个标志的代码的呢？ 2014-9-20 21:02 0
zzlight 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	zzlight 80 楼太强了，谢谢楼主！ 2014-9-29 11:12 0
曹操abc 雪币： 1821 活跃值： (1913) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 105 粉丝 3 关注私信	曹操abc 81 楼膜拜楼主... 2014-11-1 20:35 0
win用户雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	win用户 82 楼最省事的是直接来硬件调试器. 2014-11-12 14:06 0
win用户雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	win用户 83 楼企鹅是越来越NB了 2014-11-12 19:30 0
enid 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	enid 84 楼要学的知识太多了。。有点看不懂，，， 2014-11-13 10:16 0
sharkskin 雪币： 0 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sharkskin 85 楼我有一点不理解，请讲讲你是怎么定位到那个关键代码的（那破驱动读取KdEnteredDebugger ）？我是菜鸟，请赐教。先谢过了 2014-11-29 18:38 0
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 86 楼我只想问下，文章最后一张图作者是怎么定位到t**p模块里面的关键代码的？真诚请教这个技巧、技术 2014-12-7 23:07 0
handsome枫雪雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	handsome枫雪 87 楼不错，学习了~~~~~~~ 2014-12-27 20:38 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 88 楼不错刚好需要 2015-1-29 09:50 0
liulichun 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	liulichun 89 楼强大，膜拜+学习看雪真是高手云集 2015-2-7 17:35 0
ilcxjyb 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ilcxjyb 90 楼难得相遇啊 2015-2-10 22:15 0
ftpgrtmrj 雪币： 60 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	ftpgrtmrj 91 楼不知道在WIN7 32BIT的環境下，是否也是這樣子的手法? 2015-2-12 09:57 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 92 楼强！但是有一个问题，bug错误代码0x99999999,这个是如何产生的？是调用某个api设置bug为0x99999999, 然后就产生这个代码蓝屏了吗？ 2015-3-15 08:19 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 93 楼 T*在XP32位下在清零KdDebuggerEnabled之后，TP就顺利运行了，但是断点应该怎么才能下上去 2015-4-4 11:05 0
pengjy 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	pengjy 94 楼强大，膜拜+学习 2015-5-11 14:15 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 95 楼学习了大神就是厉害 2015-5-11 14:35 0
艾米哈柏雪币： 130 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 96 楼马克。。 2015-5-13 16:25 0
红颜世家、雪币： 1626 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 89 粉丝 0 关注私信	红颜世家、 97 楼膜拜一下大牛... 2015-5-13 17:30 0
coolboyme 雪币： 3407 活跃值： (1237) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 23 关注私信	coolboyme 5 98 楼感谢楼主分享，到今天这个解决方案仍然有效。 2015-5-15 20:44 0
sabanhai 雪币： 11 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	sabanhai 99 楼 typedef PMDL (__stdcall *_MyIoAllocateMdl)( __in_opt PVOID VirtualAddress, __in ULONG Length, __in BOOLEAN SecondaryBuffer, __in BOOLEAN ChargeQuota, __inout_opt PIRP Irp OPTIONAL); _MyIoAllocateMdl old_IoAllocateMdl; 编译不通过怎么回事求解 2015-7-14 20:05 0
EndLife 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	EndLife 100 楼请问怎么才能给KdEnteredDebugger这个变量下断点啊？我在这里下ba r4 KdEnteredDebugger的断点再g再自己断下都会蓝屏的啊！我很想知道你“定位到他关键代码：”下面的截图是怎么弄出来的啊，可异这个图里面关于windbg的命令只有一点点！ 2015-8-23 00:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

毁灭

发帖

210

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (111) ◀ 1 2 3 4 5 ▶
’’’hate 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 50 粉丝 0 关注私信	’’’hate 77 楼你是吾爱破解版主？ 2014-8-10 19:57 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 78 楼怎么可能、、、 2014-8-10 20:22 0
bingkan 雪币： 28 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	bingkan 79 楼对KdEnteredDebugger的定位的确有点疑问 ba r4 KdEnteredDebugger 只后g一下虚拟机直接就死掉了，不知道为什么…… 楼主是怎么定位到它访问这个标志的代码的呢？ 2014-9-20 21:02 0
zzlight 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	zzlight 80 楼太强了，谢谢楼主！ 2014-9-29 11:12 0
曹操abc 雪币： 1821 活跃值： (1913) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 105 粉丝 3 关注私信	曹操abc 81 楼膜拜楼主... 2014-11-1 20:35 0
win用户雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	win用户 82 楼最省事的是直接来硬件调试器. 2014-11-12 14:06 0
win用户雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	win用户 83 楼企鹅是越来越NB了 2014-11-12 19:30 0
enid 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	enid 84 楼要学的知识太多了。。有点看不懂，，， 2014-11-13 10:16 0
sharkskin 雪币： 0 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sharkskin 85 楼我有一点不理解，请讲讲你是怎么定位到那个关键代码的（那破驱动读取KdEnteredDebugger ）？我是菜鸟，请赐教。先谢过了 2014-11-29 18:38 0
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 86 楼我只想问下，文章最后一张图作者是怎么定位到t**p模块里面的关键代码的？真诚请教这个技巧、技术 2014-12-7 23:07 0
handsome枫雪雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	handsome枫雪 87 楼不错，学习了~~~~~~~ 2014-12-27 20:38 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 88 楼不错刚好需要 2015-1-29 09:50 0
liulichun 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	liulichun 89 楼强大，膜拜+学习看雪真是高手云集 2015-2-7 17:35 0
ilcxjyb 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ilcxjyb 90 楼难得相遇啊 2015-2-10 22:15 0
ftpgrtmrj 雪币： 60 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	ftpgrtmrj 91 楼不知道在WIN7 32BIT的環境下，是否也是這樣子的手法? 2015-2-12 09:57 0
squdong 雪币： 8 活跃值： (233) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 136 粉丝 0 关注私信	squdong 92 楼强！但是有一个问题，bug错误代码0x99999999,这个是如何产生的？是调用某个api设置bug为0x99999999, 然后就产生这个代码蓝屏了吗？ 2015-3-15 08:19 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 93 楼 T*在XP32位下在清零KdDebuggerEnabled之后，TP就顺利运行了，但是断点应该怎么才能下上去 2015-4-4 11:05 0
pengjy 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	pengjy 94 楼强大，膜拜+学习 2015-5-11 14:15 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 95 楼学习了大神就是厉害 2015-5-11 14:35 0
艾米哈柏雪币： 130 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 96 楼马克。。 2015-5-13 16:25 0
红颜世家、雪币： 1626 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 89 粉丝 0 关注私信	红颜世家、 97 楼膜拜一下大牛... 2015-5-13 17:30 0
coolboyme 雪币： 3407 活跃值： (1237) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 23 关注私信	coolboyme 5 98 楼感谢楼主分享，到今天这个解决方案仍然有效。 2015-5-15 20:44 0
sabanhai 雪币： 11 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	sabanhai 99 楼 typedef PMDL (__stdcall *_MyIoAllocateMdl)( __in_opt PVOID VirtualAddress, __in ULONG Length, __in BOOLEAN SecondaryBuffer, __in BOOLEAN ChargeQuota, __inout_opt PIRP Irp OPTIONAL); _MyIoAllocateMdl old_IoAllocateMdl; 编译不通过怎么回事求解 2015-7-14 20:05 0
EndLife 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	EndLife 100 楼请问怎么才能给KdEnteredDebugger这个变量下断点啊？我在这里下ba r4 KdEnteredDebugger的断点再g再自己断下都会蓝屏的啊！我很想知道你“定位到他关键代码：”下面的截图是怎么弄出来的啊，可异这个图里面关于windbg的命令只有一点点！ 2015-8-23 00:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复