首页
社区
课程
招聘
关于第三题的问题 ,大中小小小牛 都进来看一下
发表于: 2008-12-23 10:35 24036

关于第三题的问题 ,大中小小小牛 都进来看一下

2008-12-23 10:35
24036
那个REGPROT。SYS 驱动加载成功  

注册表下那个 360game键 确实删除后 再重建

我的问题很简单

因为我不会写驱动 所以 想 知道 对于这个问题 如何手工
来发现是 这个REGPROT。sys 在作怪
只要发现是 该REGPROT。SYS在作怪  剩下的问题就容易些了

无论是工具 查找 还是 手工查找 还是二者结合查找 都可以

谢谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
IDA上,反汇编一下就清楚了
2008-12-23 11:11
0
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
哦,弄错LZ的意思了。
用Windbg或者SoftIce之类的在NtosKrnl!ZwCreateKey()上面下断,有返回地址后随便找个查看驱动模块加载情况的东西来看就知道是谁做的坏事了
2008-12-23 11:14
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢   我要的就是这个  
不过 SOFTICE 就免了吧   XP 下 用不了  
不知道 WINDBG 是不是工作在RING3下呢
2008-12-23 11:15
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
很抱歉  请原谅我孤陋寡闻  那个 随便察看驱动模块加载情况的软件  能否举例2个
2008-12-23 11:17
0
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
6
IS ,RU等一些安全类软件甚至 WinDbg的lm命令
2008-12-23 11:32
0
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
SoftIce在我的XP sp3单核上能跑起来,没什么问题。WinDbg是MS出的内核调试器嘛,不知道算ring几,远程调试的
查看驱动加载,最常见的估计就冰刃
2008-12-23 14:01
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这个WINDDBG 是下载回来了
尝试着 把 REGEDIT。EXE加载进来

但是下断 不知道怎么断
使用 IS 不知道如何查看驱动模块  
虽然 红线中标记的确实是那个驱动  可问题是 如何才能发现它就是控制那个键反复重建的呢
上传的附件:
2008-12-24 10:40
0
雪    币: 364
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
9
你可以写个hook zwcreatkey的驱动,过滤出你要查看的键值,一旦是,就触发DbgBreakPoint,然后自己查看调用栈吧
2008-12-24 10:45
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谢谢   你大概没看我的主贴  
俺不会写驱动  
就是想手工+工具 来破解这个驱动  
只要找到它  删除注册表及相关文件  就行了
现在的问题是 如何从一大堆的已知驱动列表 中 来发现这个 元凶
2008-12-24 10:48
0
雪    币: 364
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
11
我让写驱动的意思是过滤一些别的地方的调用。你手工找到话很被断下很多次的,太烦了
2008-12-24 11:15
0
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
在ZwCreateKey()处断下了嘛,有返回地址。跟过去看程序的流程是什么样的不就知道了?
实在觉得WinDbg里面不好做事,记下返回地址,有冰刃嘛,计算R=返回地址-加载基址
然后用Ida加载那个驱动,计算A=默认加载基址+R,在IDA里面跳到这个地址,然后上下看看就清楚了。其实直接用IDA打开就行了,程序流程很清晰的。
2008-12-24 14:51
0
游客
登录 | 注册 方可回帖
返回
//