首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
5)奇虎360软件安全比赛
发新帖
0
0
关于第三题的问题 ,大中小小小牛 都进来看一下
发表于: 2008-12-23 10:35
24036
关于第三题的问题 ,大中小小小牛 都进来看一下
wping
2008-12-23 10:35
24036
那个REGPROT。SYS 驱动加载成功
注册表下那个 360game键 确实删除后 再重建
我的问题很简单
因为我不会写驱动 所以 想 知道 对于这个问题 如何手工
来发现是 这个REGPROT。sys 在作怪
只要发现是 该REGPROT。SYS在作怪 剩下的问题就容易些了
无论是工具 查找 还是 手工查找 还是二者结合查找 都可以
谢谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
11
)
XSJS
雪 币:
152
活跃值:
(15)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
436
粉丝
1
关注
私信
XSJS
2
楼
IDA上,反汇编一下就清楚了
2008-12-23 11:11
0
XSJS
雪 币:
152
活跃值:
(15)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
436
粉丝
1
关注
私信
XSJS
3
楼
哦,弄错LZ的意思了。
用Windbg或者SoftIce之类的在NtosKrnl!ZwCreateKey()上面下断,有返回地址后随便找个查看驱动模块加载情况的东西来看就知道是谁做的坏事了
2008-12-23 11:14
0
wping
雪 币:
212
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
88
回帖
386
粉丝
0
关注
私信
wping
4
楼
谢谢 我要的就是这个
不过 SOFTICE 就免了吧 XP 下 用不了
不知道 WINDBG 是不是工作在RING3下呢
2008-12-23 11:15
0
wping
雪 币:
212
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
88
回帖
386
粉丝
0
关注
私信
wping
5
楼
很抱歉 请原谅我孤陋寡闻 那个 随便察看驱动模块加载情况的软件 能否举例2个
2008-12-23 11:17
0
thinkSJ
雪 币:
196
活跃值:
(135)
能力值:
( LV10,RANK:170 )
在线值:
发帖
9
回帖
611
粉丝
1
关注
私信
thinkSJ
4
6
楼
IS ,RU等一些安全类软件甚至 WinDbg的lm命令
2008-12-23 11:32
0
XSJS
雪 币:
152
活跃值:
(15)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
436
粉丝
1
关注
私信
XSJS
7
楼
SoftIce在我的XP sp3单核上能跑起来,没什么问题。WinDbg是MS出的内核调试器嘛,不知道算ring几,远程调试的
。
查看驱动加载,最常见的估计就冰刃
2008-12-23 14:01
0
wping
雪 币:
212
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
88
回帖
386
粉丝
0
关注
私信
wping
8
楼
这个WINDDBG 是下载回来了
尝试着 把 REGEDIT。EXE加载进来
但是下断 不知道怎么断
使用 IS 不知道如何查看驱动模块
虽然 红线中标记的确实是那个驱动 可问题是 如何才能发现它就是控制那个键反复重建的呢
上传的附件:
未命名.JPG
(185.53kb,251次下载)
2008-12-24 10:40
0
weolar
雪 币:
364
活跃值:
(152)
能力值:
( LV12,RANK:450 )
在线值:
发帖
142
回帖
620
粉丝
20
关注
私信
weolar
10
9
楼
你可以写个hook zwcreatkey的驱动,过滤出你要查看的键值,一旦是,就触发DbgBreakPoint,然后自己查看调用栈吧
2008-12-24 10:45
0
wping
雪 币:
212
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
88
回帖
386
粉丝
0
关注
私信
wping
10
楼
谢谢 你大概没看我的主贴
俺不会写驱动
就是想手工+工具 来破解这个驱动
只要找到它 删除注册表及相关文件 就行了
现在的问题是 如何从一大堆的已知驱动列表 中 来发现这个 元凶
2008-12-24 10:48
0
weolar
雪 币:
364
活跃值:
(152)
能力值:
( LV12,RANK:450 )
在线值:
发帖
142
回帖
620
粉丝
20
关注
私信
weolar
10
11
楼
我让写驱动的意思是过滤一些别的地方的调用。你手工找到话很被断下很多次的,太烦了
2008-12-24 11:15
0
XSJS
雪 币:
152
活跃值:
(15)
能力值:
( LV2,RANK:10 )
在线值:
发帖
14
回帖
436
粉丝
1
关注
私信
XSJS
12
楼
在ZwCreateKey()处断下了嘛,有返回地址。跟过去看程序的流程是什么样的不就知道了?
实在觉得WinDbg里面不好做事,记下返回地址,有冰刃嘛,计算R=返回地址-加载基址
然后用Ida加载那个驱动,计算A=默认加载基址+R,在IDA里面跳到这个地址,然后上下看看就清楚了。其实直接用IDA打开就行了,程序流程很清晰的。
2008-12-24 14:51
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
wping
88
发帖
386
回帖
10
RANK
关注
私信
他的文章
[求助]注释一段反汇编代码 不知道对不对 哪位大虾帮我看看
2711
[讨论]这是我写的两个函数 请各位指教 能还原成c代码最好
4747
这是我跟进[<&MSVCR100.strchr>] ; 的一段代码 怎么看不明白呢 有花指令吗
3749
我想查看一下这个字符串常量在内存中的位置
4606
关于排列的一个小问题
3699
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部