-
-
[讨论]卡巴7.0的API hook
-
发表于:
2008-8-4 21:03
5086
-
最近在调试堆溢出发现,卡巴7.0把LoadLibaray hook了。
函数入口点被改成:
77EBFF9C > 55 push ebp
77EBFF9D 8BEC mov ebp,esp
77EBFF9F 90 nop
77EBFFA0 5D pop ebp
77EBFFA1 - E9 8A9CAB46 jmp BE979C30
77EBFFA6 90 nop
77EBFFA7 90 nop
77EBFFA8 90 nop
77EBFFA9 90 nop
77EBFFAA 90 nop
奇怪的是jmp BE979C30应该发生通用保护异常啊,但OD中似乎顺利执行下去了(F9),晕倒!
F8就更晕了,跳出一个错误框说是个不易读取的地方,然后就挂在那里了。两个都没去异常处理……??这是为什么呢?(OD没有忽略任何异常,包括kernell)
我把jmp BE979C30,改成jmp BE999C30,就发生异常了!……奇怪,是不是卡巴挂钩通用保护异常,过滤了自己驱动程序范围内的异常了?
[课程]Linux pwn 探索篇!
