[求助] 请问在这种情况下，GS段寄存器是如何被修改的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 2 楼 KeContextToKframes KeContextFromKframes 2019-2-27 22:37 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 3 楼用调试器修改eax和gs的值，然后step，会发现eax的值正常保留，而gs的值变回0x2b。搞不懂一个win32程序为啥对gs这么执着。。。最后于 2019-2-28 00:23 被knightprf编辑，原因： 2019-2-28 00:14 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 4 楼小艾 KeContextToKframes KeContextFromKframes 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保存下来的值。在应用程序看来，GS改为0后就一直是0。而实际情况是在应用程序把GS改为0以后，很快GS又会变为0x2b。 2019-2-28 00:16 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 knightprf 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保 ... gs是被强制指定的，应该不是简单的保存+恢复 2019-2-28 06:57 1
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 6 楼 knightprf 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保 ... 直接指定的,并不是保存,R0直接指定GS=2B然后把处理权限交给R3, NTDLL->WOW64->X86(若GS != 2B)会爆炸. 2019-2-28 08:27 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 7 楼原来是这样啊 2019-2-28 09:50 0
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 8 楼现在的情况如下： 1. 把GS设成0 2. 运行我的代码 3. 把GS设回0x2B 以上代码运行在R3。一旦运行的过程中偶尔进入了R0，GS就会被重置，回到R3后程序已经无法正常运行了。有没有办法捕获 R0回到R3这个时间点？（能的话想在这个时间点再次把GS设为0） 2019-2-28 10:04 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 9 楼 knightprf 现在的情况如下： 1. 把GS设成0 2. 运行我的代码 3. 把GS设回0x2B 以上代码运行在R3。一旦运行的过程中偶尔进入了R0，GS就会被重置，回到R3后程序已经无法正常运行了。 ... 那你还不如patch掉内核强制指定gs的那块代码做个hook 然后自己做判断 2019-3-2 09:27 0
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 10 楼 hzqst 那你还不如patch掉内核强制指定gs的那块代码做个hook 然后自己做判断谢谢，主要是希望在发生上下文切换后，回到程序的时候程序能感知，但好像Windows没有提供正常途径实现这一点。可能只有patch内核了 2019-3-2 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 2 楼 KeContextToKframes KeContextFromKframes 2019-2-27 22:37 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 3 楼用调试器修改eax和gs的值，然后step，会发现eax的值正常保留，而gs的值变回0x2b。搞不懂一个win32程序为啥对gs这么执着。。。最后于 2019-2-28 00:23 被knightprf编辑，原因： 2019-2-28 00:14 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 4 楼小艾 KeContextToKframes KeContextFromKframes 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保存下来的值。在应用程序看来，GS改为0后就一直是0。而实际情况是在应用程序把GS改为0以后，很快GS又会变为0x2b。 2019-2-28 00:16 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 knightprf 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保 ... gs是被强制指定的，应该不是简单的保存+恢复 2019-2-28 06:57 1
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 6 楼 knightprf 多谢回复。这两个函数好像确实有能力越过调试器把GS改回来。不过感觉道理上说不通，因为类似于这种“保存状态并恢复”的函数，应该会把已经改为0的GS保存下来。中间GS可能会变，但最后会恢复为保 ... 直接指定的,并不是保存,R0直接指定GS=2B然后把处理权限交给R3, NTDLL->WOW64->X86(若GS != 2B)会爆炸. 2019-2-28 08:27 1
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 7 楼原来是这样啊 2019-2-28 09:50 0
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 8 楼现在的情况如下： 1. 把GS设成0 2. 运行我的代码 3. 把GS设回0x2B 以上代码运行在R3。一旦运行的过程中偶尔进入了R0，GS就会被重置，回到R3后程序已经无法正常运行了。有没有办法捕获 R0回到R3这个时间点？（能的话想在这个时间点再次把GS设为0） 2019-2-28 10:04 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 9 楼 knightprf 现在的情况如下： 1. 把GS设成0 2. 运行我的代码 3. 把GS设回0x2B 以上代码运行在R3。一旦运行的过程中偶尔进入了R0，GS就会被重置，回到R3后程序已经无法正常运行了。 ... 那你还不如patch掉内核强制指定gs的那块代码做个hook 然后自己做判断 2019-3-2 09:27 0
knightprf 雪币： 174 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	knightprf 10 楼 hzqst 那你还不如patch掉内核强制指定gs的那块代码做个hook 然后自己做判断谢谢，主要是希望在发生上下文切换后，回到程序的时候程序能感知，但好像Windows没有提供正常途径实现这一点。可能只有patch内核了 2019-3-2 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复