首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]问NP 的 dump_wmimmc 的问题
2008-2-2 17:52 6341

[求助]问NP 的 dump_wmimmc 的问题

nNOIRn 活跃值
1
2008-2-2 17:52
6341
我的问题是如何 才能从内存中抓出 NP 的 dump_wmimmc.sys 。

事情是这样的:
小弟正在研究NP , 想逆向看看NP 的底层驱动是怎么实现的,我用串口双机调试,被调试机器只要是处于调试状态,我一启动游戏,就直接重启了, 我在 windbg 里面下了断点 bu dump_wmimmc!DriverEntry 也没有收到通知。 所以想问问,搞过的大大们,怎么抓到NP 的驱动的啊?

[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞0
打赏
分享
最新回复 (5)
zhuwg
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
私信
zhuwg 11 2008-2-4 09:41
2
0
createfile
writefile

在游戏请求加载驱动之前 把文件指针指向新文件

windbg被deny了。。
stupidass
雪    币: 356
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
stupidass 2008-2-14 14:22
3
0
恩...有个最简单(简单到看起来笨的方法):利用瑞星的主动防御,在NP加载驱动前让瑞星弹出提示,这个时候驱动文件已经生成,拷贝一份就可以得到了......
ytnb
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
ytnb 2008-2-16 00:00
4
0
拿到也没什么用,加上虚拟机了
stupidass
雪    币: 356
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
stupidass 2008-2-18 11:44
5
0
有很多关键代码是没有虚拟机的,尤其是类似NP_KeAttachProcess这样的函数是没有加密的。
luolinlove
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
luolinlove 2008-2-19 00:14
6
0
我也想知道,我调试的时候重启n次
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回