[求助]做完SMC补丁后出现离奇的问题之二-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼这一段是模拟调用了ZwContinue（mov eax ,20后KiFastSystemCall）。在此之前有修改指定了新的入口点（比如通过SEH什么的），在进入模拟ZwContinue（第一个图）时，可查看椎栈[esp+4]，即传入的Context结构参数指针。查该结构的0xB8偏移处的值，则是新的EIP地址。在这个地址下断，就可以断下。最后MessageBoxA后，就直接ExitProcess了（MessageBoxA时的返回地址正是ExitProcess函数地址） 2008-5-1 19:16 0
wtxpwh 雪币： 48 活跃值： (496) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 3 楼 [QUOTE=轩辕小聪;448156]这一段是模拟调用了ZwContinue（mov eax ,20后KiFastSystemCall）。在此之前有修改指定了新的入口点（比如通过SEH什么的），在进入模拟ZwContinue（第一个图）时，可查看椎栈[esp+4]，即传入的Context结构参数指针。查该结构的0xB8偏移处的值，则是新...[/QUOTE] 大哥我真是佩服的您五体投地！！不知道是小弟孤陋寡闻，还是大哥知识渊博（看看回帖的人数就知道答案了）真断下来了！能说一下原理和知识要点吗？非常感谢！！！ 2008-5-1 23:25 0
StarsunYzL 雪币： 424 活跃值： (1854) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 4 楼楼主普通会员？ 2008-5-2 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼这一段是模拟调用了ZwContinue（mov eax ,20后KiFastSystemCall）。在此之前有修改指定了新的入口点（比如通过SEH什么的），在进入模拟ZwContinue（第一个图）时，可查看椎栈[esp+4]，即传入的Context结构参数指针。查该结构的0xB8偏移处的值，则是新的EIP地址。在这个地址下断，就可以断下。最后MessageBoxA后，就直接ExitProcess了（MessageBoxA时的返回地址正是ExitProcess函数地址） 2008-5-1 19:16 0
wtxpwh 雪币： 48 活跃值： (496) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 3 楼 [QUOTE=轩辕小聪;448156]这一段是模拟调用了ZwContinue（mov eax ,20后KiFastSystemCall）。在此之前有修改指定了新的入口点（比如通过SEH什么的），在进入模拟ZwContinue（第一个图）时，可查看椎栈[esp+4]，即传入的Context结构参数指针。查该结构的0xB8偏移处的值，则是新...[/QUOTE] 大哥我真是佩服的您五体投地！！不知道是小弟孤陋寡闻，还是大哥知识渊博（看看回帖的人数就知道答案了）真断下来了！能说一下原理和知识要点吗？非常感谢！！！ 2008-5-1 23:25 0
StarsunYzL 雪币： 424 活跃值： (1854) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 4 楼楼主普通会员？ 2008-5-2 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复