关于第三题的问题，大中小小小牛都进来看一下-5)奇虎360软件安全比赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 11:11 2 楼 0 IDA上，反汇编一下就清楚了
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 11:14 3 楼 0 哦，弄错LZ的意思了。用Windbg或者SoftIce之类的在NtosKrnl!ZwCreateKey()上面下断，有返回地址后随便找个查看驱动模块加载情况的东西来看就知道是谁做的坏事了
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-23 11:15 4 楼 0 谢谢我要的就是这个不过 SOFTICE 就免了吧 XP 下用不了不知道 WINDBG 是不是工作在RING3下呢
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-23 11:17 5 楼 0 很抱歉请原谅我孤陋寡闻那个随便察看驱动模块加载情况的软件能否举例2个
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2008-12-23 11:32 6 楼 0 IS ,RU等一些安全类软件甚至 WinDbg的lm命令
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 14:01 7 楼 0 SoftIce在我的XP sp3单核上能跑起来，没什么问题。WinDbg是MS出的内核调试器嘛，不知道算ring几，远程调试的。查看驱动加载，最常见的估计就冰刃
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-24 10:40 8 楼 0 这个WINDDBG 是下载回来了尝试着把 REGEDIT。EXE加载进来但是下断不知道怎么断使用 IS 不知道如何查看驱动模块虽然红线中标记的确实是那个驱动可问题是如何才能发现它就是控制那个键反复重建的呢上传的附件：未命名.JPG （185.53kb，251次下载）
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-24 10:45 9 楼 0 你可以写个hook zwcreatkey的驱动，过滤出你要查看的键值，一旦是，就触发DbgBreakPoint，然后自己查看调用栈吧
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-24 10:48 10 楼 0 谢谢你大概没看我的主贴俺不会写驱动就是想手工+工具来破解这个驱动只要找到它删除注册表及相关文件就行了现在的问题是如何从一大堆的已知驱动列表中来发现这个元凶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-24 11:15 11 楼 0 我让写驱动的意思是过滤一些别的地方的调用。你手工找到话很被断下很多次的，太烦了
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-24 14:51 12 楼 0 在ZwCreateKey()处断下了嘛，有返回地址。跟过去看程序的流程是什么样的不就知道了？实在觉得WinDbg里面不好做事，记下返回地址，有冰刃嘛，计算R=返回地址-加载基址然后用Ida加载那个驱动，计算A=默认加载基址+R，在IDA里面跳到这个地址，然后上下看看就清楚了。其实直接用IDA打开就行了，程序流程很清晰的。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (11)
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 11:11 2 楼 0 IDA上，反汇编一下就清楚了
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 11:14 3 楼 0 哦，弄错LZ的意思了。用Windbg或者SoftIce之类的在NtosKrnl!ZwCreateKey()上面下断，有返回地址后随便找个查看驱动模块加载情况的东西来看就知道是谁做的坏事了
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-23 11:15 4 楼 0 谢谢我要的就是这个不过 SOFTICE 就免了吧 XP 下用不了不知道 WINDBG 是不是工作在RING3下呢
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-23 11:17 5 楼 0 很抱歉请原谅我孤陋寡闻那个随便察看驱动模块加载情况的软件能否举例2个
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2008-12-23 11:32 6 楼 0 IS ,RU等一些安全类软件甚至 WinDbg的lm命令
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-23 14:01 7 楼 0 SoftIce在我的XP sp3单核上能跑起来，没什么问题。WinDbg是MS出的内核调试器嘛，不知道算ring几，远程调试的。查看驱动加载，最常见的估计就冰刃
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-24 10:40 8 楼 0 这个WINDDBG 是下载回来了尝试着把 REGEDIT。EXE加载进来但是下断不知道怎么断使用 IS 不知道如何查看驱动模块虽然红线中标记的确实是那个驱动可问题是如何才能发现它就是控制那个键反复重建的呢上传的附件：未命名.JPG （185.53kb，251次下载）
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-24 10:45 9 楼 0 你可以写个hook zwcreatkey的驱动，过滤出你要查看的键值，一旦是，就触发DbgBreakPoint，然后自己查看调用栈吧
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2008-12-24 10:48 10 楼 0 谢谢你大概没看我的主贴俺不会写驱动就是想手工+工具来破解这个驱动只要找到它删除注册表及相关文件就行了现在的问题是如何从一大堆的已知驱动列表中来发现这个元凶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-24 11:15 11 楼 0 我让写驱动的意思是过滤一些别的地方的调用。你手工找到话很被断下很多次的，太烦了
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2008-12-24 14:51 12 楼 0 在ZwCreateKey()处断下了嘛，有返回地址。跟过去看程序的流程是什么样的不就知道了？实在觉得WinDbg里面不好做事，记下返回地址，有冰刃嘛，计算R=返回地址-加载基址然后用Ida加载那个驱动，计算A=默认加载基址+R，在IDA里面跳到这个地址，然后上下看看就清楚了。其实直接用IDA打开就行了，程序流程很清晰的。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

关于第三题的问题 ，大中小小小牛 都进来看一下

关于第三题的问题，大中小小小牛都进来看一下