[原创]通过NtContinue修改3环程序执行流程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼 NtContinue相当于jmp，F8就会直接跟丢用NtContinue来实现call调用，调用完还要通过CONTEXT返回效率会比较低，不过对于程序接口防止第三方调用稍微有点作用 2021-9-25 11:43 0
黑洛雪币： 6124 活跃值： (4646) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 3 楼暗桩这种东西，单独一种或许很简单，每样都来一点就很麻烦了。 2021-9-25 13:25 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 4 楼 mark 2021-9-27 16:37 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼类似：setjmp/longjmp 2021-9-30 11:50 1
Caim Astraea 雪币： 1028 活跃值： (720) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	Caim Astraea 6 楼 yy虫子yy NtContinue相当于jmp，F8就会直接跟丢用NtContinue来实现call调用，调用完还要通过CONTEXT返回效率会比较低，不过对于程序接口防止第三方调用稍微有点作用 F7也会跟丢，和jmp还是有点区别。效率方面，如果把CONTEXT返回变成三环过程，应该就和SEH改流程之类的没什么分别 2021-10-22 21:27 0
mb_hgrbqfun 雪币： 228 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 50 粉丝 1 关注私信	mb_hgrbqfun 7 楼不是很懂，调试器为什么会跟丢，为什么jmp不会丢，好像协程库也不会丢，为什么NtContinue会丢最后于 2021-10-22 22:01 被mb_hgrbqfun编辑，原因： 2021-10-22 22:00 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 8 楼 cpu有个单步执行模式,我记得是flag标志位修改,这样肯定不会跟丢,调试器F7的原理是把下一步要执行的汇编处改成CC断点,都不走那步流程下断也没用啊 2021-10-23 08:27 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼 Caim Astraea F7也会跟丢，和jmp还是有点区别。效率方面，如果把CONTEXT返回变成三环过程，应该就和SEH改流程之类的没什么分别这个好像是不返回的吧，相当于是从Ring0里面jmp到目标CONTEXT，F7和F8也就都会跟丢 2021-10-23 09:22 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼 qj111111 cpu有个单步执行模式,我记得是flag标志位修改,这样肯定不会跟丢,调试器F7的原理是把下一步要执行的汇编处改成CC断点,都不走那步流程下断也没用啊这个要看情况，因为有的系统调用进入Ring0后并不会返回，就算cpu有单步标志，F7都会跟丢 2021-10-23 09:28 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 11 楼好吧这个确实没考虑到 2021-11-16 18:27 0
木志本柯雪币： 4708 活跃值： (4214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 362 粉丝 4 关注私信	木志本柯 12 楼。。。最后于 2021-11-20 21:52 被木志本柯编辑，原因： 2021-11-20 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼 NtContinue相当于jmp，F8就会直接跟丢用NtContinue来实现call调用，调用完还要通过CONTEXT返回效率会比较低，不过对于程序接口防止第三方调用稍微有点作用 2021-9-25 11:43 0
黑洛雪币： 6124 活跃值： (4646) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 3 楼暗桩这种东西，单独一种或许很简单，每样都来一点就很麻烦了。 2021-9-25 13:25 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 4 楼 mark 2021-9-27 16:37 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼类似：setjmp/longjmp 2021-9-30 11:50 1
Caim Astraea 雪币： 1028 活跃值： (720) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	Caim Astraea 6 楼 yy虫子yy NtContinue相当于jmp，F8就会直接跟丢用NtContinue来实现call调用，调用完还要通过CONTEXT返回效率会比较低，不过对于程序接口防止第三方调用稍微有点作用 F7也会跟丢，和jmp还是有点区别。效率方面，如果把CONTEXT返回变成三环过程，应该就和SEH改流程之类的没什么分别 2021-10-22 21:27 0
mb_hgrbqfun 雪币： 228 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 50 粉丝 1 关注私信	mb_hgrbqfun 7 楼不是很懂，调试器为什么会跟丢，为什么jmp不会丢，好像协程库也不会丢，为什么NtContinue会丢最后于 2021-10-22 22:01 被mb_hgrbqfun编辑，原因： 2021-10-22 22:00 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 8 楼 cpu有个单步执行模式,我记得是flag标志位修改,这样肯定不会跟丢,调试器F7的原理是把下一步要执行的汇编处改成CC断点,都不走那步流程下断也没用啊 2021-10-23 08:27 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼 Caim Astraea F7也会跟丢，和jmp还是有点区别。效率方面，如果把CONTEXT返回变成三环过程，应该就和SEH改流程之类的没什么分别这个好像是不返回的吧，相当于是从Ring0里面jmp到目标CONTEXT，F7和F8也就都会跟丢 2021-10-23 09:22 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼 qj111111 cpu有个单步执行模式,我记得是flag标志位修改,这样肯定不会跟丢,调试器F7的原理是把下一步要执行的汇编处改成CC断点,都不走那步流程下断也没用啊这个要看情况，因为有的系统调用进入Ring0后并不会返回，就算cpu有单步标志，F7都会跟丢 2021-10-23 09:28 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 11 楼好吧这个确实没考虑到 2021-11-16 18:27 0
木志本柯雪币： 4708 活跃值： (4214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 362 粉丝 4 关注私信	木志本柯 12 楼。。。最后于 2021-11-20 21:52 被木志本柯编辑，原因： 2021-11-20 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复