[求助]如果我想完成对应用程序“程序领空”到“系统领空”切换的监视，该如何实现？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 2 楼在ＯＤ里跟踪应该可以 2008-7-20 22:58 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 3 楼多谢如果自己用程序完成，有什么好的实现方法没？ 2008-7-20 23:12 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 4 楼自己顶一下。 2008-7-21 08:33 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 5 楼只能模拟所有代码执行。 2008-7-21 09:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 6 楼应该可以写个脚本出来 2008-7-21 09:13 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 7 楼 B T S 2008-7-21 09:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼 ia32_msr_sysenter 2008-7-21 11:48 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 9 楼发哥人真好。。。LZ该加声望了 2008-7-21 12:11 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 10 楼关注一下。。。。 2008-7-21 12:54 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼可以弄个什么DLL劫持，把加载的系统库给劫持掉，换成自己的接口，不过貌似有些麻烦 2008-7-21 13:12 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 12 楼多谢诸位， BTW:发哥是哪位？BTS又是啥呢？ 2008-7-21 19:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 13 楼发哥 = FORGOT... R3到R0的切换,WIN2K的年代用的INT2E, 也就是你挂钩IDT,就基本可以检查所有的R3 到R0的切换了... XP的年代则是SYSENTER.....你需要挂钩MSR...随便搜索一下,基本也可以找到代码了... 因为你的问题很多搞内核的,以及不搞内核的都知道,我还以为会没人答呢..... 至于BTS是CPU提供的分支记录功能...可以记录所有分支的地址,包括R3 和R0的...前阵子有人发过文章还置顶了的... 2008-7-21 22:13 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 14 楼程序领空”到“系统领空”的切换 == R3 到R0的切换？？？？ 2008-7-21 22:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 15 楼哦...明白了...跑题了...把系统DLL的页属性都改成不可执行吧...跑到那个位置产生异常,接收异常之后可以在当前堆栈得到返回地址,也可以用原来的方法,直接在你要监视的进程空间改页属性..... 不过BTS依然可以满足这个需求就是了.. 还有的还有,改EXE的输入表,HOOK GETPROCADDRESS,只是这样做对于壳自己模拟的那个API就无效了, 改新加载的系统DLL输出表,使其先转向到你的代码或许也是解决方案之一....只是这样和NBW说的差不多了 2008-7-21 22:49 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 16 楼非常感谢 2008-7-22 08:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 17 楼 ===不妥，删除=== 2008-7-22 20:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 18 楼膜拜 2008-7-22 20:59 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 19 楼 16楼正解…… 如果在OD中可以在所有载入的系统DLL的代码段设置访问断点，一旦执行到就会触发咯。 2008-7-22 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 2 楼在ＯＤ里跟踪应该可以 2008-7-20 22:58 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 3 楼多谢如果自己用程序完成，有什么好的实现方法没？ 2008-7-20 23:12 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 4 楼自己顶一下。 2008-7-21 08:33 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 5 楼只能模拟所有代码执行。 2008-7-21 09:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 6 楼应该可以写个脚本出来 2008-7-21 09:13 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 7 楼 B T S 2008-7-21 09:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼 ia32_msr_sysenter 2008-7-21 11:48 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 9 楼发哥人真好。。。LZ该加声望了 2008-7-21 12:11 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 10 楼关注一下。。。。 2008-7-21 12:54 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼可以弄个什么DLL劫持，把加载的系统库给劫持掉，换成自己的接口，不过貌似有些麻烦 2008-7-21 13:12 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 12 楼多谢诸位， BTW:发哥是哪位？BTS又是啥呢？ 2008-7-21 19:20 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 13 楼发哥 = FORGOT... R3到R0的切换,WIN2K的年代用的INT2E, 也就是你挂钩IDT,就基本可以检查所有的R3 到R0的切换了... XP的年代则是SYSENTER.....你需要挂钩MSR...随便搜索一下,基本也可以找到代码了... 因为你的问题很多搞内核的,以及不搞内核的都知道,我还以为会没人答呢..... 至于BTS是CPU提供的分支记录功能...可以记录所有分支的地址,包括R3 和R0的...前阵子有人发过文章还置顶了的... 2008-7-21 22:13 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 14 楼程序领空”到“系统领空”的切换 == R3 到R0的切换？？？？ 2008-7-21 22:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 15 楼哦...明白了...跑题了...把系统DLL的页属性都改成不可执行吧...跑到那个位置产生异常,接收异常之后可以在当前堆栈得到返回地址,也可以用原来的方法,直接在你要监视的进程空间改页属性..... 不过BTS依然可以满足这个需求就是了.. 还有的还有,改EXE的输入表,HOOK GETPROCADDRESS,只是这样做对于壳自己模拟的那个API就无效了, 改新加载的系统DLL输出表,使其先转向到你的代码或许也是解决方案之一....只是这样和NBW说的差不多了 2008-7-21 22:49 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 11 关注私信	shellwolf 10 16 楼非常感谢 2008-7-22 08:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 17 楼 ===不妥，删除=== 2008-7-22 20:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 18 楼膜拜 2008-7-22 20:59 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 19 楼 16楼正解…… 如果在OD中可以在所有载入的系统DLL的代码段设置访问断点，一旦执行到就会触发咯。 2008-7-22 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复