通过什么样的途径能截取全局的API中断？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2004-7-15 13:21 2 楼 0 I want to know,too. Ding...
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-7-15 14:35 3 楼 0 不会重新加载吧。一个CreateThread难道会改变所有Thunk?
oep1 雪币： 4674 活跃值： (2053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 66 回帖 339 粉丝 0 关注私信	oep1 4 2004-7-15 20:33 4 楼 0 最初由 forgot 发布不会重新加载吧。一个CreateThread难道会改变所有Thunk? 程序就是这样的，我也没办法。我用其他软件检测了一下，居然启动了7个新线程。我还以为是我下的断点在API函数的第一个字节的问题，后来发现不然，确实是重新加载，把我的程序设定的int 3覆盖了。
nOpnOp 雪币： 236 活跃值： (155) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	nOpnOp 2 2004-7-15 21:22 5 楼 0 如果要实现SoftIce那样的功能就要改写动态库对应的物理地址上的内容，而这样做要有特权才能绕开COW机制
oep1 雪币： 4674 活跃值： (2053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 66 回帖 339 粉丝 0 关注私信	oep1 4 2004-7-16 20:15 6 楼 0 最初由 nOpnOp 发布如果要实现SoftIce那样的功能就要改写动态库对应的物理地址上的内容，而这样做要有特权才能绕开COW机制你好，那我在CC断点上设置只读模式，可以避开上面你所说的“COW”吗？我看过精华上其他人写的帖子，可以用SEH等方法获得特权，但获得特权后如何修改？能说详细点吗？开始我还想用钩子函数动态检测自己的CC点，但这样的话，断点的返回好象是个问题，好象并不能返回自己所设置的断点。
nOpnOp 雪币： 236 活跃值： (155) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	nOpnOp 2 2004-7-17 15:57 7 楼 0 很遗憾不能避开，COW的原理是这样的:系统认为API动态库的代码段是所有程序共享的，所以最初都设置了只读属性，一旦有程序写了API动态库的代码段，那么系统就会为这个修改后的动态库生成一个COPY（正确的说应该是那个已被该写的代码所在的页），专门服务那个改写的进程。这就是所谓的COW机制。为了避开COW，只有在Ring0模式下直接改写该页对应的物理地址上的内容，才不会引发系统的COW机制。关于COW机制和访问物理内存的内容你可以参考WebCrazy的有关文章。
cobra1111 雪币： 231 活跃值： (409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 179 粉丝 1 关注私信	cobra1111 2004-7-17 19:59 8 楼 0 关注ing
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2004-7-15 13:21 2 楼 0 I want to know,too. Ding...
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-7-15 14:35 3 楼 0 不会重新加载吧。一个CreateThread难道会改变所有Thunk?
oep1 雪币： 4674 活跃值： (2053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 66 回帖 339 粉丝 0 关注私信	oep1 4 2004-7-15 20:33 4 楼 0 最初由 forgot 发布不会重新加载吧。一个CreateThread难道会改变所有Thunk? 程序就是这样的，我也没办法。我用其他软件检测了一下，居然启动了7个新线程。我还以为是我下的断点在API函数的第一个字节的问题，后来发现不然，确实是重新加载，把我的程序设定的int 3覆盖了。
nOpnOp 雪币： 236 活跃值： (155) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	nOpnOp 2 2004-7-15 21:22 5 楼 0 如果要实现SoftIce那样的功能就要改写动态库对应的物理地址上的内容，而这样做要有特权才能绕开COW机制
oep1 雪币： 4674 活跃值： (2053) 能力值： ( LV9，RANK：170 ) 在线值：发帖 66 回帖 339 粉丝 0 关注私信	oep1 4 2004-7-16 20:15 6 楼 0 最初由 nOpnOp 发布如果要实现SoftIce那样的功能就要改写动态库对应的物理地址上的内容，而这样做要有特权才能绕开COW机制你好，那我在CC断点上设置只读模式，可以避开上面你所说的“COW”吗？我看过精华上其他人写的帖子，可以用SEH等方法获得特权，但获得特权后如何修改？能说详细点吗？开始我还想用钩子函数动态检测自己的CC点，但这样的话，断点的返回好象是个问题，好象并不能返回自己所设置的断点。
nOpnOp 雪币： 236 活跃值： (155) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	nOpnOp 2 2004-7-17 15:57 7 楼 0 很遗憾不能避开，COW的原理是这样的:系统认为API动态库的代码段是所有程序共享的，所以最初都设置了只读属性，一旦有程序写了API动态库的代码段，那么系统就会为这个修改后的动态库生成一个COPY（正确的说应该是那个已被该写的代码所在的页），专门服务那个改写的进程。这就是所谓的COW机制。为了避开COW，只有在Ring0模式下直接改写该页对应的物理地址上的内容，才不会引发系统的COW机制。关于COW机制和访问物理内存的内容你可以参考WebCrazy的有关文章。
cobra1111 雪币： 231 活跃值： (409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 179 粉丝 1 关注私信	cobra1111 2004-7-17 19:59 8 楼 0 关注ing
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复