-
-
[旧帖] [讨论]OD启动后SSDT中SetThreadInformation的地址发生变化 0.00雪花
-
发表于: 2008-12-4 09:30
-
没启动OD时用Windbg查看SSDT中的E5编号地址是805cbb88 是真正的SetThreadInformation的地址 如lkd> dd 80504a70+e5*4
80504e04 805cbb88 805f98d8 80616b24 80578d3a
80504e14 805d3306 80616658 80616580 8057b656
80504e24 b69b9c20 80615d52 80615a88 b69bdb20
80504e34 80651e34 80613522 805c7d9e 805390f4
=======================================
lkd> u 805cbb88 la
nt!NtSetInformationThread:
805cbb88 68d0000000 push 0D0h
805cbb8d 6870b54d80 push offset nt!FsRtlLegalAnsiCharacterArray+0x20c0 (804db570)
805cbb92 e87903f7ff call nt!wctomb+0x45 (8053bf10)
805cbb97 64a124010000 mov eax,dword ptr fs:[00000124h]
805cbb9d 8945dc mov dword ptr [ebp-24h],eax
805cbba0 8a8040010000 mov al,byte ptr [eax+140h]
805cbba6 8845e4 mov byte ptr [ebp-1Ch],al
=========================================
但是启动OD后,上边的地址改变了。诸:od没有加载任何程序,HideOD和PhantAm插件都没选,并且从plugin文件中删掉了。
lkd> dd 80504a70+e5*4
80504e04 bae4e4f0 805f98d8 80616b24 80578d3a
80504e14 805d3306 80616658 80616580 8057b656
80504e24 b69b9c20 80615d52 80615a88 b69bdb20
=============================================
地址对应的代码
lkd> u bae4e4f0 l10
bae4e4f0 8bff mov edi,edi
bae4e4f2 55 push ebp
bae4e4f3 8bec mov ebp,esp
bae4e4f5 837d0c11 cmp dword ptr [ebp+0Ch],11h
bae4e4f9 7519 jne bae4e514
bae4e4fb e886ffffff call bae4e486
bae4e500 84c0 test al,al
bae4e502 7410 je bae4e514
bae4e504 8b4514 mov eax,dword ptr [ebp+14h]
bae4e507 f7d8 neg eax
bae4e509 1bc0 sbb eax,eax
bae4e50b 25040000c0 and eax,0C0000004h
bae4e510 5d pop ebp
bae4e511 c21000 ret 10h
bae4e514 5d pop ebp
bae4e515 ff25a4f5e4ba jmp dword ptr ds:[0BAE4F5A4h]
=========================================
这是怎么回事??望大侠们赐教?
|
|
|---|---|
|
|
|
|
|
|
|
|
谢谢两位大侠帮助,果然是invisible插件搞的鬼,太谢谢了!!!!
|
