能力值:
( LV8,RANK:130 )
|
-
-
2 楼
只能用windbg破~
|
能力值:
( LV9,RANK:610 )
|
-
-
3 楼
跟应用层脱壳在原理上没什么区别,而且个人觉得驱动里面应该不会有应用层那么变态的壳吧,毕竟要考虑稳定性,总蓝屏就不好玩了。跑到OEP之后用Windbg转储,不过如果需要修改导入表什么的就麻烦了,只能手动修了,不像应用层有那么多好用的工具,从原理上讲,LordPE、ImportRec之类的软件写个Kernel版本应该也不难吧。。。
|
能力值:
( LV8,RANK:130 )
|
-
-
4 楼
写个内核版的OD更实在
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
没必要重复造轮子啊,写个调试器谈何容易,windbg就挺好使的,而且也可以写扩展来丰富功能,所以有能力的多写一写相关的实用扩展才叫实在
|
能力值:
( LV3,RANK:30 )
|
-
-
6 楼
vm算不算变态 ?
说实话遇到这个我也是不知道该怎么继续下去了
|
能力值:
( LV3,RANK:30 )
|
-
-
7 楼
好的 我试试
|
能力值:
( LV9,RANK:610 )
|
-
-
8 楼
vm这个不能算普通意义的壳了,能手撕vm的没几个人。。。
|
能力值:
( LV3,RANK:30 )
|
-
-
9 楼
看来还是有人能脱的
人生总要做几件变态的事情才对得起来这平淡的人生
谢谢大神的回复
|
能力值:
( LV8,RANK:130 )
|
-
-
10 楼
我一直很纳闷,为什么WINDBG的反汇编窗口用的那么的蛋疼,滚轮滚一下,就不知道自己在哪里了?没人吐槽这个问题,大家都觉得好用? 
|
能力值:
( LV9,RANK:200 )
|
-
-
11 楼
驱动脱壳,以前无聊的时候捣鼓过一次。
只是提供个思路让楼主参考,我也还是个菜鸡。
FYI :http://bbs.pediy.com/showthread.php?t=171729
|
能力值:
( LV9,RANK:610 )
|
-
-
12 楼
因为大家基本上用命令行比较多啊,需要反汇编的时候u一下就好了,Windbg的强大就在于各种命令和伪寄存器、条件语句什么的
|
能力值:
( LV9,RANK:610 )
|
-
-
13 楼
ring3自写Loader跑驱动倒是个好主意,以前就见过这种搞法,不过用得太少给忘了。
估计一般情况跑跑还是可以的,遇到特权指令就歇菜了吧
|
能力值:
( LV8,RANK:130 )
|
-
-
14 楼
严重降低调试效率 
|
能力值:
( LV3,RANK:30 )
|
-
-
15 楼
感谢大神的分享 好好学习学习
|
能力值:
( LV9,RANK:200 )
|
-
-
16 楼
对于脱壳而言,这不是问题,有指令流和数据流够满足XXX。
我专门搞过一段时间的静态脱壳。这可压根都不需要让目标跑起来 
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
你动手写一个,给晚辈们示范一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
讲道理啊,,驱动怎么加壳?我用VMP加壳,加载就蓝屏了。。
|
|
|
|
