首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]NT下的调试器并非需要Ntdll.ntcontinue跳板函数
发表于: 2008-4-30 16:59 11285

[原创]NT下的调试器并非需要Ntdll.ntcontinue跳板函数

zeal 活跃值
6
2008-4-30 16:59
11285

标 题: NT下的调试器并非需要Ntdll.ntcontinue跳板函数
作 者: Zeal
时 间: 2008-04-30,16:43

    在看雪的软件加密技术内幕中的第三章(98页)中介绍到在nt系统下需要 Ntdll.ntcontinue 这个函数作为跳板才可以对程序入口地址进行设段,但是本人今天在测试的时候发现并不需要这样,本人的环境是xp sp2,顺便再说明一下,本人最近才细读此书,可能诸位大牛已经发现了本菜鸟的方法,但是,本人的确是自己发现的哈,请各位大虾多多指教!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 8
支持
分享
最新回复 (8)
zhuwg
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
私信
2
沙发支持lz
2008-4-30 17:29
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
3
没有第三版。为什么不直接从PE头里面读取入口地址?
2008-5-4 09:59
0
elance
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
我当时也很疑惑,
2008-5-4 10:49
0
救世猪
雪    币: 224
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
5
没看太懂~~~
为什么说第二次单步中断后,Eax的值就是EP呢??
2008-5-4 12:10
0
YockW
雪    币: 134
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
虽然早知道了这个方法,但还是小小的支持一下。

PS:
貌似wulje在07年的一篇脱文中提到过这个方法。

当时留意了一下,所以很有印象。

并非冒犯楼主
2008-5-4 21:06
0
zeal
雪    币: 259
活跃值: (26)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
7
呵呵,讨论技术而已,本人还在上学,所以很少看一些别人发表的文章,所以技术跟不上啊,呵呵
2008-5-7 21:07
0
yuanchi
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
dddddddddddddddddddd
2008-5-7 21:41
0
yuanchi
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
dddddddddddddddddddddd
2008-5-7 21:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//