-
-
[原创]第五题
-
发表于:
2017-6-10 14:56
3334
-
1、首先pass DebugPort清零反调试,驱动vmxdrv.sys里ida反编译代码如下:
PEPROCESS sub_10486()
{
PEPROCESS result; // eax@1
struct _EPROCESS *v1; // edx@1
result = IoGetCurrentProcess();
v1 = result;
while ( result != (PEPROCESS)dword_114E0 )
{
result = (PEPROCESS)(*((_DWORD *)result + 34) - 0x88);
if ( result == v1 )
return result;
}
*((_DWORD *)result + 0x2F) = 0; //DebugPort清零 ,对应地址.text:000104A9 and dword ptr [eax+0BCh], 0
return result;
}
用ResScope资源编辑修改exe里面的vmxdrv.sys,把text:000104A9 and dword ptr [eax+0BCh], 0 全部nop,
vmxdrv.sys文件偏移0x4A9: 83 A0 BC 00 00 00 00 为 90 90 90 90 90 90 90
然后在修改效验和为0x2813,vmxdrv.sys文件偏移0x2A0:13 28
最后保存,驱动反调试已经pass
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
