[翻译][12月专题]TheMida_defeating_ring0-外文翻译-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
kanxue 雪币： 32401 活跃值： (18875) 能力值： (RANK：350 ) 在线值：发帖 2359 回帖 17010 粉丝 489 关注私信	kanxue 8 2007-3-15 13:38 2 楼 0 感谢笨笨雄所做的翻译，这篇文章感觉还是不错的。另外：附件有不完整，麻烦重新上传一下。
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2007-3-15 14:12 3 楼 0 上传本地: 上传的附件： themida_defeating_ring0.rar （888.38kb，394次下载）
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2007-3-15 14:17 4 楼 0 Thanks 笨笨雄.
xzchina 雪币： 625 活跃值： (1057) 能力值： ( LV4，RANK：50 ) 在线值：发帖 39 回帖 837 粉丝 0 关注私信	xzchina 1 2007-3-15 14:35 5 楼 0 谢谢分享看完了，感觉能看懂的只是极少数，谢谢笨笨雄翻译！
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-3-15 19:59 6 楼 0 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移这是HOOK函数头的，可是2K缺少mov edi,edi。感觉还是脱RING0壳时用中断挂钩的方法会比较通用。另外定位函数尾的方法 ret(c2或者c3)后面有几个byte的90。在WIN2K也不符合该条件。貌似xp开始微软鼓励INLINE HOOK。 TheMida_defeating_ring0我看不明白的地方有两个： 1 如何将kernel32.dll转向到他修改过的ker32.dll，我想在它那篇ANTI DUMP的文章有答案（看ING） 2 修复jmp []那里看不懂
xzchina 雪币： 625 活跃值： (1057) 能力值： ( LV4，RANK：50 ) 在线值：发帖 39 回帖 837 粉丝 0 关注私信	xzchina 1 2007-3-16 16:24 7 楼 0 最初由笨笨雄* 发布* 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 ........ X64 Vista有 mov edi,edi 嘛？ ------- 刚才看了一下，并没有 mov edi,edi ,mov rdi,rdi
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 2007-3-19 08:52 8 楼 0 好，两篇都下了，收藏
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2007-3-20 22:16 9 楼 0 收下,等有时间了,看看
xajin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xajin 2007-3-21 10:53 10 楼 0 你给的那个网页下不了，多谢了
kkbing 雪币： 235 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	kkbing 3 2007-3-24 11:01 11 楼 0 苯苯雄辛苦
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2007-4-4 19:47 12 楼 0 [QUOTE=笨笨雄;287490]看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移 QUOTE] 引用你的战友一句话:微软曾经可能采用inline hook做过系统补丁...
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-4-5 00:03 13 楼 0 后来看到shoooo在新兵版答问题的时候帖了这个问题的答案。。。才知道我之前的理解错的厉害。。。加上mov edi,edi和在RET后面加上NOP，主要是为了解决HOT PATCH在多线程环境下的问题。短跳2个字节，跳到长跳5个字节，离高人还有很长距离啊
jarodlau 雪币： 208 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jarodlau 2007-4-28 06:48 14 楼 0 太强了，就是需要这个文章，精彩！！
smileban 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smileban 2007-10-3 19:00 15 楼 0 辛苦了...
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 2007-10-18 01:13 16 楼 0 下不下来～谢谢
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-18 19:12 17 楼 0 3楼的也不行？
kernelwin 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	kernelwin 2007-11-4 09:30 18 楼 0 非常感谢，有这么多的技术达人，相信看雪是越办越好!
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 2007-12-7 11:22 19 楼 0 不太懂　呵呵　正在努力
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 2007-12-7 11:22 20 楼 0 不太懂　呵呵　正在努力
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (19)
kanxue 雪币： 32401 活跃值： (18875) 能力值： (RANK：350 ) 在线值：发帖 2359 回帖 17010 粉丝 489 关注私信	kanxue 8 2007-3-15 13:38 2 楼 0 感谢笨笨雄所做的翻译，这篇文章感觉还是不错的。另外：附件有不完整，麻烦重新上传一下。
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2007-3-15 14:12 3 楼 0 上传本地: 上传的附件： themida_defeating_ring0.rar （888.38kb，394次下载）
linhanshi 雪币： 85496 活跃值： (198820) 能力值： (RANK：10 ) 在线值：发帖 9007 回帖 25618 粉丝 425 关注私信	linhanshi 2007-3-15 14:17 4 楼 0 Thanks 笨笨雄.
xzchina 雪币： 625 活跃值： (1057) 能力值： ( LV4，RANK：50 ) 在线值：发帖 39 回帖 837 粉丝 0 关注私信	xzchina 1 2007-3-15 14:35 5 楼 0 谢谢分享看完了，感觉能看懂的只是极少数，谢谢笨笨雄翻译！
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-3-15 19:59 6 楼 0 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移这是HOOK函数头的，可是2K缺少mov edi,edi。感觉还是脱RING0壳时用中断挂钩的方法会比较通用。另外定位函数尾的方法 ret(c2或者c3)后面有几个byte的90。在WIN2K也不符合该条件。貌似xp开始微软鼓励INLINE HOOK。 TheMida_defeating_ring0我看不明白的地方有两个： 1 如何将kernel32.dll转向到他修改过的ker32.dll，我想在它那篇ANTI DUMP的文章有答案（看ING） 2 修复jmp []那里看不懂
xzchina 雪币： 625 活跃值： (1057) 能力值： ( LV4，RANK：50 ) 在线值：发帖 39 回帖 837 粉丝 0 关注私信	xzchina 1 2007-3-16 16:24 7 楼 0 最初由笨笨雄* 发布* 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 ........ X64 Vista有 mov edi,edi 嘛？ ------- 刚才看了一下，并没有 mov edi,edi ,mov rdi,rdi
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 2007-3-19 08:52 8 楼 0 好，两篇都下了，收藏
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 2007-3-20 22:16 9 楼 0 收下,等有时间了,看看
xajin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xajin 2007-3-21 10:53 10 楼 0 你给的那个网页下不了，多谢了
kkbing 雪币： 235 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	kkbing 3 2007-3-24 11:01 11 楼 0 苯苯雄辛苦
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2007-4-4 19:47 12 楼 0 [QUOTE=笨笨雄;287490]看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移 QUOTE] 引用你的战友一句话:微软曾经可能采用inline hook做过系统补丁...
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-4-5 00:03 13 楼 0 后来看到shoooo在新兵版答问题的时候帖了这个问题的答案。。。才知道我之前的理解错的厉害。。。加上mov edi,edi和在RET后面加上NOP，主要是为了解决HOT PATCH在多线程环境下的问题。短跳2个字节，跳到长跳5个字节，离高人还有很长距离啊
jarodlau 雪币： 208 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jarodlau 2007-4-28 06:48 14 楼 0 太强了，就是需要这个文章，精彩！！
smileban 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smileban 2007-10-3 19:00 15 楼 0 辛苦了...
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 2007-10-18 01:13 16 楼 0 下不下来～谢谢
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-18 19:12 17 楼 0 3楼的也不行？
kernelwin 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	kernelwin 2007-11-4 09:30 18 楼 0 非常感谢，有这么多的技术达人，相信看雪是越办越好!
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 2007-12-7 11:22 19 楼 0 不太懂　呵呵　正在努力
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 2007-12-7 11:22 20 楼 0 不太懂　呵呵　正在努力
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复