首页
社区
课程
招聘
[求助]做完SMC补丁后出现离奇的问题之二
发表于: 2008-5-1 16:24 4757

[求助]做完SMC补丁后出现离奇的问题之二

2008-5-1 16:24
4757
上次刚在论坛上问了一下弹出对话框的原因
看雪大哥说自效验(在此谢谢!)最后跟踪分析了一下
确实是自效验
跟踪了好长时间后跟到这里


F7进去后如下



F7走第二步的时候就出对话框

重新载入,下断 bp MessageBoxA

重复以上操作,F7走第二步的时候被断了下来
如图:



怎么搞?好像是系统调用,这自效验怎么去?
第一次遇到,希望各位大哥哥帮忙解决一下!

谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
2
这一段是模拟调用了ZwContinue(mov eax ,20后KiFastSystemCall)。在此之前有修改指定了新的入口点(比如通过SEH什么的),在进入模拟ZwContinue(第一个图)时,可查看椎栈[esp+4],即传入的Context结构参数指针。查该结构的0xB8偏移处的值,则是新的EIP地址。在这个地址下断,就可以断下。

最后MessageBoxA后,就直接ExitProcess了(MessageBoxA时的返回地址正是ExitProcess函数地址)
2008-5-1 19:16
0
雪    币: 48
活跃值: (496)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=轩辕小聪;448156]这一段是模拟调用了ZwContinue(mov eax ,20后KiFastSystemCall)。在此之前有修改指定了新的入口点(比如通过SEH什么的),在进入模拟ZwContinue(第一个图)时,可查看椎栈[esp+4],即传入的Context结构参数指针。查该结构的0xB8偏移处的值,则是新...[/QUOTE]

大哥我真是佩服的您五体投地!!
不知道是小弟孤陋寡闻,还是大哥知识渊博(看看回帖的人数就知道答案了)
真断下来了!
能说一下原理和知识要点吗?
非常感谢!!!
2008-5-1 23:25
0
雪    币: 424
活跃值: (1854)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
楼主普通会员?
2008-5-2 10:21
0
游客
登录 | 注册 方可回帖
返回
//