[求助]关于X64位下 32位进程的硬件断点-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
yyinzlf 雪币： 168 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 46 粉丝 0 关注私信	yyinzlf 2 楼问题解决步骤如下只说原理根据 ThreadHandle 获取线程 _ETHREAD 根据 _ETHREAD 结构中第一项即 Tcb 来获取 TrapFrame 这个结构体如下 typedef struct _KTRAP_FRAME { ULONG DbgEbp; // Copy of User EBP set up so KB will work. ULONG DbgEip; // EIP of caller to system call, again, for KB. ULONG DbgArgMark; // Marker to show no args here. ULONG DbgArgPointer; // Pointer to the actual args ULONG TempSegCs; ULONG TempEsp; ULONG Dr0; ULONG Dr1; ULONG Dr2; ULONG Dr3; ULONG Dr6; ULONG Dr7; ULONG SegGs; ULONG SegEs; ULONG SegDs; ULONG Edx; ULONG Ecx; ULONG Eax; ULONG PreviousPreviousMode; PEXCEPTION_REGISTRATION_RECORD ExceptionList; ULONG SegFs; ULONG Edi; ULONG Esi; ULONG Ebx; ULONG Ebp; ULONG ErrCode; ULONG Eip; ULONG SegCs; ULONG EFlags; ULONG HardwareEsp; // WARNING - segSS:esp are only here for stacks ULONG HardwareSegSs; // that involve a ring transition. ULONG V86Es; // these will be present for all transitions from ULONG V86Ds; // V86 mode ULONG V86Fs; ULONG V86Gs; } KTRAP_FRAME; 以上信息来自《寒江独钓》而这个结构体中包含的东西正是我要找的，到这里就可以了。 2019-7-29 15:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

yyinzlf

雪币： 168

活跃值： (33)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

yyinzlf: 2 楼

问题解决步骤如下只说原理根据 ThreadHandle 获取线程 _ETHREAD 根据 _ETHREAD 结构中第一项即 Tcb 来获取 TrapFrame 这个结构体如下

typedef struct _KTRAP_FRAME
{
    ULONG   DbgEbp;         // Copy of User EBP set up so KB will work.
    ULONG   DbgEip;         // EIP of caller to system call, again, for KB.
    ULONG   DbgArgMark;     // Marker to show no args here.
    ULONG   DbgArgPointer;  // Pointer to the actual args 

    ULONG   TempSegCs;
    ULONG   TempEsp; 

    ULONG   Dr0;
    ULONG   Dr1;
    ULONG   Dr2;
    ULONG   Dr3;
    ULONG   Dr6;
    ULONG   Dr7;

    ULONG   SegGs;
    ULONG   SegEs;
    ULONG   SegDs;

    ULONG   Edx;
    ULONG   Ecx;
    ULONG   Eax;

    ULONG   PreviousPreviousMode;

    PEXCEPTION_REGISTRATION_RECORD ExceptionList; 

    ULONG   SegFs;

    ULONG   Edi;
    ULONG   Esi;
    ULONG   Ebx;
    ULONG   Ebp;

    ULONG   ErrCode;
    ULONG   Eip;
    ULONG   SegCs;
    ULONG   EFlags;

    ULONG   HardwareEsp;    // WARNING - segSS:esp are only here for stacks
    ULONG   HardwareSegSs;  // that involve a ring transition.

    ULONG   V86Es;          // these will be present for all transitions from
    ULONG   V86Ds;          // V86 mode
    ULONG   V86Fs;
    ULONG   V86Gs;
} KTRAP_FRAME;

以上信息来自《寒江独钓》

而这个结构体中包含的东西正是我要找的，到这里就可以了。

2019-7-29 15:14

[未解决，已结帖] [求助]关于X64位下 32位进程的硬件断点 50.00雪花