逆向RING0程序从这里开始-软件逆向-看雪-安全社区|安全招聘|kanxue.com

逆向RING0程序从这里开始

发表于: 2006-12-6 21:41 35360

逆向RING0程序从这里开始

笨笨雄

2006-12-6 21:41

35360

查看主题内容

收藏・33

免费・7

支持

最新回复 (53) ◀ 1 2 3 ▶
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 26 楼我也是广州人啊 ^_^ 2006-12-7 20:08 0
xzchina 雪币： 615 活跃值： (1287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 27 楼一直以来见到KAN 的头像都感觉熟悉,似乎在哪里见到过,现在才想起来,这些图片的确能缓解汇编代码给眼睛带来的疲劳. http://my.poco.cn/lastphoto_v2.htx&id=184274 ________________________ 很努力的试着看,最后还是不懂, 中国矿业大学的一位教授是这样说的,徐州银行的系统都是我学生搞的,凡是入侵者进来后修改了里面的资料,系统就会自动还原. 教授给我妈说,我妈在给我说,够牛的. 开心一下.... 2006-12-7 20:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 28 楼我习惯有什么就一口气干完，象这篇文章，用了2天时间搞定。做完，睡觉，第二天起床继续。现在又是上课又是实验的，断断续续，没劲。评估完又是考试什么的，然后还要实习。。。不知道什么时候才能来点双机调试实例。现在有空就翻译一下WINDBG安装目录下kernel_debugging_tutoria。练练英语，准备考4级。进度是6/48。 25楼也难找工作，那我不更郁闷了。。。不知道26楼混得怎么样 2006-12-7 21:30 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 29 楼 28 楼的还没工作，我可是久战沙场的人了 http://bbs.chinapyg.com/viewthread.php?tid=6779&extra=page%3D3 2006-12-7 21:42 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 30 楼看不了。。。只接受有邀请码的人注册。。晕啊 2006-12-7 21:45 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 31 楼呵呵，也没关系了，像你一样强大的人不怕没出路的，继续努力就可以了，但破解的东西还是小搞为妙。多把心思留在前途之上吧 2006-12-7 21:53 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 32 楼最初由 KAN* 发布* 我也是广州人啊 ^_^ 又一个!!找时间出来玩，你在哪头？ 2006-12-8 00:47 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 33 楼最初由冷血书生* 发布* 又一个!!找时间出来玩，你在哪头？救命，我以备发放到海南岛了，每4 个月才能回来广州 15 天，不过海南的空气真的是广州没法比的，我已经开始不适应广州的空气了，现在每天在海边逛逛，然后回宿舍上网，日子停舒适的，所有说还没工作的朋友还是要以事业为重 2006-12-8 14:36 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 34 楼我大概永远也学不到这一层来 2006-12-8 14:39 0
dogkarl 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	dogkarl 1 35 楼此文对我很有帮助。。。。赞一个。。。。同时问楼主一个问题。。每次我要看wdm.h里面定义结构的时候，不是手动输入结构就是写一些像 printf("DriverObject.DriverUnload = 0x%x;\n",(unsigned long)&(DriverObject.DriverUnload) - (unsigned long)&DriverObject); 之类的东西。又没有什么好方法可以直接从h文件中导入结构体到IDA? 2006-12-8 22:07 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 36 楼这年头，找到工作才有本钱玩。。。如果我毕业之前找不到工作，回家之后可能就不能上网了。。。家境贫穷。。。老实说，如果我是大款的儿子，我肯定继续沉迷游戏。我学这个只为从事两方面工作，1恶意代码分析。2软件评测。搜索一下我的精华文章。。。没有一篇关于破解的。。。脱壳只为分析恶意代码。。。回35楼，IDA我只会用一些很简单的功能。头文件都是直接打开来看的。 2006-12-8 22:31 0
DeCr雪球雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	DeCr雪球 37 楼阿熊哥阿软件测评和恶意代码这两饭待遇好啊？ 2007-3-15 21:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 38 楼安全漏洞分析的。。。看雪招聘版那里，不是挺高工资嘛。。 2007-3-15 22:05 0
Ajampie 雪币： 207 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 39 楼看不懂啊。。。。。。 2007-3-16 10:57 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 40 楼最初由笨笨雄* 发布* IFSDDK里面有一些定义。然后啊拉下载DOSKEY上存的驱动资料里面有文件过滤驱动的资料，不知道你看过没有。嘿嘿，逆向准备的东西不止是楼主写的吧我常备的 SDK头文件 MSDN WINDDK/IFSDDK的头文件 DDK/IFSDDK文档 WIN2K SRC/还有现在的Windows Research Kernel Source Code livekd 2007-3-16 12:04 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 41 楼最初由 dogkarl* 发布* 此文对我很有帮助。。。。赞一个。。。。同时问楼主一个问题。。每次我要看wdm.h里面定义结构的时候，不是手动输入结构就是写一些像 printf("DriverObject.DriverUnload = 0x%x;\n",(unsigned long)&(DriverObject.DriverUnload) - (unsigned long)&DriverObject); 之类的东西。又没有什么好方法可以直接从h文件中导入结构体到IDA? FILE->Load File->Parse C Header file 可以直接导入现在的C的头文件但是，注意IDA不支持微软定义的一些 __IA64 之类的附加说明符号所以从DDK里摘出来时注意去掉结构的批量获取可以通过编译程序的“预处理”结果得到。（DEBUGMAN论坛上好像有人说过）我一般是用自己整理的。逆向一段时间，你自己应该会整理一些常用的结构的头文件 2007-3-16 12:12 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 42 楼我还是看不懂 2007-3-16 14:44 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 43 楼楼主写的确实不错! 2007-3-17 01:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 44 楼最初由 whtyy* 发布* 嘿嘿，逆向准备的东西不止是楼主写的吧我常备的 SDK头文件 MSDN ........ 我写这篇文章的时候刚接触这个谢谢你的建议呢。。。有些东西我还不知道。。。要去找找看了。 2007-3-17 12:14 0
yangcopy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	yangcopy 45 楼广州人在广州比较难混。。 2007-3-17 13:12 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 46 楼不懂...看着看着还差点睡着了.. 2007-3-23 12:12 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 47 楼好东西正想弄弄RING0的东西 2007-3-23 13:55 0
craoking 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	craoking 48 楼俺也很佩服啊 2009-4-15 01:27 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 49 楼笨笨雄，3个月就写出来这样精华帖，厉害呀。还有冷血书生，你都28个精华帖啦，还不好找工作吗？我接触也有一些时间啦，只是没有一直看，现在不知道如何再进一步呀， 2009-4-20 12:24 0
无言无悔雪币： 476 活跃值： (307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	无言无悔 50 楼多谢分享！～～～～～～～～ 2009-11-19 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

笨笨雄

212

发帖

3620

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 26 楼我也是广州人啊 ^_^ 2006-12-7 20:08 0
xzchina 雪币： 615 活跃值： (1287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 27 楼一直以来见到KAN 的头像都感觉熟悉,似乎在哪里见到过,现在才想起来,这些图片的确能缓解汇编代码给眼睛带来的疲劳. http://my.poco.cn/lastphoto_v2.htx&id=184274 ________________________ 很努力的试着看,最后还是不懂, 中国矿业大学的一位教授是这样说的,徐州银行的系统都是我学生搞的,凡是入侵者进来后修改了里面的资料,系统就会自动还原. 教授给我妈说,我妈在给我说,够牛的. 开心一下.... 2006-12-7 20:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 28 楼我习惯有什么就一口气干完，象这篇文章，用了2天时间搞定。做完，睡觉，第二天起床继续。现在又是上课又是实验的，断断续续，没劲。评估完又是考试什么的，然后还要实习。。。不知道什么时候才能来点双机调试实例。现在有空就翻译一下WINDBG安装目录下kernel_debugging_tutoria。练练英语，准备考4级。进度是6/48。 25楼也难找工作，那我不更郁闷了。。。不知道26楼混得怎么样 2006-12-7 21:30 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 29 楼 28 楼的还没工作，我可是久战沙场的人了 http://bbs.chinapyg.com/viewthread.php?tid=6779&extra=page%3D3 2006-12-7 21:42 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 30 楼看不了。。。只接受有邀请码的人注册。。晕啊 2006-12-7 21:45 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 31 楼呵呵，也没关系了，像你一样强大的人不怕没出路的，继续努力就可以了，但破解的东西还是小搞为妙。多把心思留在前途之上吧 2006-12-7 21:53 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 32 楼最初由 KAN* 发布* 我也是广州人啊 ^_^ 又一个!!找时间出来玩，你在哪头？ 2006-12-8 00:47 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 33 楼最初由冷血书生* 发布* 又一个!!找时间出来玩，你在哪头？救命，我以备发放到海南岛了，每4 个月才能回来广州 15 天，不过海南的空气真的是广州没法比的，我已经开始不适应广州的空气了，现在每天在海边逛逛，然后回宿舍上网，日子停舒适的，所有说还没工作的朋友还是要以事业为重 2006-12-8 14:36 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 34 楼我大概永远也学不到这一层来 2006-12-8 14:39 0
dogkarl 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	dogkarl 1 35 楼此文对我很有帮助。。。。赞一个。。。。同时问楼主一个问题。。每次我要看wdm.h里面定义结构的时候，不是手动输入结构就是写一些像 printf("DriverObject.DriverUnload = 0x%x;\n",(unsigned long)&(DriverObject.DriverUnload) - (unsigned long)&DriverObject); 之类的东西。又没有什么好方法可以直接从h文件中导入结构体到IDA? 2006-12-8 22:07 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 36 楼这年头，找到工作才有本钱玩。。。如果我毕业之前找不到工作，回家之后可能就不能上网了。。。家境贫穷。。。老实说，如果我是大款的儿子，我肯定继续沉迷游戏。我学这个只为从事两方面工作，1恶意代码分析。2软件评测。搜索一下我的精华文章。。。没有一篇关于破解的。。。脱壳只为分析恶意代码。。。回35楼，IDA我只会用一些很简单的功能。头文件都是直接打开来看的。 2006-12-8 22:31 0
DeCr雪球雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	DeCr雪球 37 楼阿熊哥阿软件测评和恶意代码这两饭待遇好啊？ 2007-3-15 21:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 38 楼安全漏洞分析的。。。看雪招聘版那里，不是挺高工资嘛。。 2007-3-15 22:05 0
Ajampie 雪币： 207 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 39 楼看不懂啊。。。。。。 2007-3-16 10:57 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 40 楼最初由笨笨雄* 发布* IFSDDK里面有一些定义。然后啊拉下载DOSKEY上存的驱动资料里面有文件过滤驱动的资料，不知道你看过没有。嘿嘿，逆向准备的东西不止是楼主写的吧我常备的 SDK头文件 MSDN WINDDK/IFSDDK的头文件 DDK/IFSDDK文档 WIN2K SRC/还有现在的Windows Research Kernel Source Code livekd 2007-3-16 12:04 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 41 楼最初由 dogkarl* 发布* 此文对我很有帮助。。。。赞一个。。。。同时问楼主一个问题。。每次我要看wdm.h里面定义结构的时候，不是手动输入结构就是写一些像 printf("DriverObject.DriverUnload = 0x%x;\n",(unsigned long)&(DriverObject.DriverUnload) - (unsigned long)&DriverObject); 之类的东西。又没有什么好方法可以直接从h文件中导入结构体到IDA? FILE->Load File->Parse C Header file 可以直接导入现在的C的头文件但是，注意IDA不支持微软定义的一些 __IA64 之类的附加说明符号所以从DDK里摘出来时注意去掉结构的批量获取可以通过编译程序的“预处理”结果得到。（DEBUGMAN论坛上好像有人说过）我一般是用自己整理的。逆向一段时间，你自己应该会整理一些常用的结构的头文件 2007-3-16 12:12 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 42 楼我还是看不懂 2007-3-16 14:44 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 43 楼楼主写的确实不错! 2007-3-17 01:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 44 楼最初由 whtyy* 发布* 嘿嘿，逆向准备的东西不止是楼主写的吧我常备的 SDK头文件 MSDN ........ 我写这篇文章的时候刚接触这个谢谢你的建议呢。。。有些东西我还不知道。。。要去找找看了。 2007-3-17 12:14 0
yangcopy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	yangcopy 45 楼广州人在广州比较难混。。 2007-3-17 13:12 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 46 楼不懂...看着看着还差点睡着了.. 2007-3-23 12:12 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 47 楼好东西正想弄弄RING0的东西 2007-3-23 13:55 0
craoking 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	craoking 48 楼俺也很佩服啊 2009-4-15 01:27 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 49 楼笨笨雄，3个月就写出来这样精华帖，厉害呀。还有冷血书生，你都28个精华帖啦，还不好找工作吗？我接触也有一些时间啦，只是没有一直看，现在不知道如何再进一步呀， 2009-4-20 12:24 0
无言无悔雪币： 476 活跃值： (307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	无言无悔 50 楼多谢分享！～～～～～～～～ 2009-11-19 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复