[求助]如果我想完成对应用程序“程序领空”到“系统领空”切换的监视，该如何实现？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2008-7-20 22:58 2 楼 0 在ＯＤ里跟踪应该可以
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-20 23:12 3 楼 0 多谢如果自己用程序完成，有什么好的实现方法没？
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-21 08:33 4 楼 0 自己顶一下。
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-7-21 09:04 5 楼 0 只能模拟所有代码执行。
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 2380 粉丝 0 关注私信	zapline 2008-7-21 09:13 6 楼 0 应该可以写个脚本出来
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 7 关注私信	wynney 24 2008-7-21 09:50 7 楼 0 B T S
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-7-21 11:48 8 楼 0 ia32_msr_sysenter
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 12:11 9 楼 0 发哥人真好。。。LZ该加声望了
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2008-7-21 12:54 10 楼 0 关注一下。。。。
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-7-21 13:12 11 楼 0 可以弄个什么DLL劫持，把加载的系统库给劫持掉，换成自己的接口，不过貌似有些麻烦
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-21 19:20 12 楼 0 多谢诸位， BTW:发哥是哪位？BTS又是啥呢？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 22:13 13 楼 0 发哥 = FORGOT... R3到R0的切换,WIN2K的年代用的INT2E, 也就是你挂钩IDT,就基本可以检查所有的R3 到R0的切换了... XP的年代则是SYSENTER.....你需要挂钩MSR...随便搜索一下,基本也可以找到代码了... 因为你的问题很多搞内核的,以及不搞内核的都知道,我还以为会没人答呢..... 至于BTS是CPU提供的分支记录功能...可以记录所有分支的地址,包括R3 和R0的...前阵子有人发过文章还置顶了的...
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-7-21 22:37 14 楼 0 程序领空”到“系统领空”的切换 == R3 到R0的切换？？？？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 22:49 15 楼 0 哦...明白了...跑题了...把系统DLL的页属性都改成不可执行吧...跑到那个位置产生异常,接收异常之后可以在当前堆栈得到返回地址,也可以用原来的方法,直接在你要监视的进程空间改页属性..... 不过BTS依然可以满足这个需求就是了.. 还有的还有,改EXE的输入表,HOOK GETPROCADDRESS,只是这样做对于壳自己模拟的那个API就无效了, 改新加载的系统DLL输出表,使其先转向到你的代码或许也是解决方案之一....只是这样和NBW说的差不多了
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-22 08:26 16 楼 0 非常感谢
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-7-22 20:46 17 楼 0 ===不妥，删除===
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-22 20:59 18 楼 0 膜拜
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 2008-7-22 21:49 19 楼 0 16楼正解…… 如果在OD中可以在所有载入的系统DLL的代码段设置访问断点，一旦执行到就会触发咯。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (18)
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2008-7-20 22:58 2 楼 0 在ＯＤ里跟踪应该可以
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-20 23:12 3 楼 0 多谢如果自己用程序完成，有什么好的实现方法没？
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-21 08:33 4 楼 0 自己顶一下。
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-7-21 09:04 5 楼 0 只能模拟所有代码执行。
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 2380 粉丝 0 关注私信	zapline 2008-7-21 09:13 6 楼 0 应该可以写个脚本出来
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 7 关注私信	wynney 24 2008-7-21 09:50 7 楼 0 B T S
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-7-21 11:48 8 楼 0 ia32_msr_sysenter
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 12:11 9 楼 0 发哥人真好。。。LZ该加声望了
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2008-7-21 12:54 10 楼 0 关注一下。。。。
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-7-21 13:12 11 楼 0 可以弄个什么DLL劫持，把加载的系统库给劫持掉，换成自己的接口，不过貌似有些麻烦
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-21 19:20 12 楼 0 多谢诸位， BTW:发哥是哪位？BTS又是啥呢？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 22:13 13 楼 0 发哥 = FORGOT... R3到R0的切换,WIN2K的年代用的INT2E, 也就是你挂钩IDT,就基本可以检查所有的R3 到R0的切换了... XP的年代则是SYSENTER.....你需要挂钩MSR...随便搜索一下,基本也可以找到代码了... 因为你的问题很多搞内核的,以及不搞内核的都知道,我还以为会没人答呢..... 至于BTS是CPU提供的分支记录功能...可以记录所有分支的地址,包括R3 和R0的...前阵子有人发过文章还置顶了的...
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-7-21 22:37 14 楼 0 程序领空”到“系统领空”的切换 == R3 到R0的切换？？？？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-21 22:49 15 楼 0 哦...明白了...跑题了...把系统DLL的页属性都改成不可执行吧...跑到那个位置产生异常,接收异常之后可以在当前堆栈得到返回地址,也可以用原来的方法,直接在你要监视的进程空间改页属性..... 不过BTS依然可以满足这个需求就是了.. 还有的还有,改EXE的输入表,HOOK GETPROCADDRESS,只是这样做对于壳自己模拟的那个API就无效了, 改新加载的系统DLL输出表,使其先转向到你的代码或许也是解决方案之一....只是这样和NBW说的差不多了
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-7-22 08:26 16 楼 0 非常感谢
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-7-22 20:46 17 楼 0 ===不妥，删除===
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-7-22 20:59 18 楼 0 膜拜
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 2008-7-22 21:49 19 楼 0 16楼正解…… 如果在OD中可以在所有载入的系统DLL的代码段设置访问断点，一旦执行到就会触发咯。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复