[求助]请教如何跟踪进入sysenter指令？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼系统是用Sysenter进入内核，你得换Ring0级调试器才能跟进。 2008-2-25 17:20 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 3 楼请问什么样的调试器是Ring0级调试器呢？！ 2008-2-25 17:26 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 4 楼推荐一下谢谢…… 2008-2-25 17:26 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 5 楼 SoftICE,WinDBG等 2008-2-25 17:47 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼 softice是Ring0级调试器，Trw2000也不错，不过只能用在win98及其以下版本的win系列系统。syserdebugger也可以，不过需要注册花钱，最新的版本还没见到XX版。windbg也是，用的人也比较多。你都下下来试试看吧，选款适合自己的用。 2008-2-25 17:48 0
redalarmaa 雪币： 200 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 1 关注私信	redalarmaa 7 楼建议：不要跟进，用F4或ALT+F9步过。基本不会影响你的跟踪结果。加密到RING0级的实在不多。。。。。（注：有的病毒有） 2008-2-25 18:49 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 8 楼谢谢各位大侠！不过我在用windbg调试时出现如下情况是怎么回事？ModLoad: 77bd0000 77bd8000 D:\WINDOWS\system32\VERSION.dll (140.b48): Break instruction exception - code 80000003 (first chance) eax=00241eb4 ebx=7ffdf000 ecx=00000003 edx=00000008 esi=00241f48 edi=00241eb4 eip=7c921230 esp=0012fb20 ebp=0012fc94 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 *** ERROR: Symbol file could not be found. Defaulted to export symbols for ntdll.dll - ntdll!DbgBreakPoint: 7c921230 cc int 3 2008-2-26 08:06 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 9 楼，，，，用SOFTICE吧，，，， 2008-2-26 09:31 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 10 楼看看http://bbs.pediy.com/showthread.php?t=60247 2008-2-26 15:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼系统是用Sysenter进入内核，你得换Ring0级调试器才能跟进。 2008-2-25 17:20 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 3 楼请问什么样的调试器是Ring0级调试器呢？！ 2008-2-25 17:26 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 4 楼推荐一下谢谢…… 2008-2-25 17:26 0
kanxue 雪币： 50161 活跃值： (20610) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 5 楼 SoftICE,WinDBG等 2008-2-25 17:47 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼 softice是Ring0级调试器，Trw2000也不错，不过只能用在win98及其以下版本的win系列系统。syserdebugger也可以，不过需要注册花钱，最新的版本还没见到XX版。windbg也是，用的人也比较多。你都下下来试试看吧，选款适合自己的用。 2008-2-25 17:48 0
redalarmaa 雪币： 200 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 1 关注私信	redalarmaa 7 楼建议：不要跟进，用F4或ALT+F9步过。基本不会影响你的跟踪结果。加密到RING0级的实在不多。。。。。（注：有的病毒有） 2008-2-25 18:49 0
univers 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	univers 8 楼谢谢各位大侠！不过我在用windbg调试时出现如下情况是怎么回事？ModLoad: 77bd0000 77bd8000 D:\WINDOWS\system32\VERSION.dll (140.b48): Break instruction exception - code 80000003 (first chance) eax=00241eb4 ebx=7ffdf000 ecx=00000003 edx=00000008 esi=00241f48 edi=00241eb4 eip=7c921230 esp=0012fb20 ebp=0012fc94 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 *** ERROR: Symbol file could not be found. Defaulted to export symbols for ntdll.dll - ntdll!DbgBreakPoint: 7c921230 cc int 3 2008-2-26 08:06 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 9 楼，，，，用SOFTICE吧，，，， 2008-2-26 09:31 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 10 楼看看http://bbs.pediy.com/showthread.php?t=60247 2008-2-26 15:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复