-
-
一个棘手的问题!!!!找到调用的源头!指令回溯
-
发表于:
2006-6-28 15:58
4486
-
XXXXX反挂机制.
主进程(A) 启动 辅助进程(B);
A会把需要加密的数据存放在 0x0040000C;//PE头部
A在释放有名信号.等待B处理完毕在计算.
因为B不能直接OD调式,所以只有SOFTICE了.
在softICE下断 BPX WriteProcessMemory;
拦截后F12返回找不到调用 WriteProcessMemory地方,返回的地方代码全混淆了,
我也尝试了在返回前面几个语句下地址断点.可也没什么效果.
而WriteProcessMemory的各项参数也是用堆栈存储的.所以下内存断点也找不到源头.!!!!!
例:
0014568 XXX
0014569 XXX
001456A CALL.WriteProcessMemory;
001456B XXX
7C80220F ;WriteProcessMemory
..
..
..
如何当CPU下下一条EIP等于7C80220F 就断下来,从而断在001456A处???这样我就有能找到调用API的源头了....
或者有一种虚拟机制,记录CPU执行指令的流程.!!!!!!
还有其他办法吗????各位大哥小妹们!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
