能力值:
( LV9,RANK:210 )
|
-
-
2 楼
没有被导出
可通过搜索 KeAttachProcess 的第一个E8 来获取 TX就是这样写的
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
KeAttachProcess这个函数是被导出的是吧,原来TX是这样定位的啊,神...
呵呵,谢谢bujin888,这几天大多都是你帮我解决了不少问题!
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
第一个CALL是call nt!KeUnstackDetachProcess
不是KiAttachProcess呵呵.晕
|
能力值:
( LV6,RANK:90 )
|
-
-
5 楼
第一个 E8CALL 不是 FF CALL
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
对就是第一个E8 CALL,调用的是
nt!KeAttachProcess:
804f9afc 8bff mov edi,edi
804f9afe 55 push ebp
804f9aff 8bec mov ebp,esp
804f9b01 56 push esi
804f9b02 57 push edi
804f9b03 64a124010000 mov eax,dword ptr fs:[00000124h]
804f9b09 8b7d08 mov edi,dword ptr [ebp+8]
804f9b0c 8bf0 mov esi,eax
804f9b0e 397e44 cmp dword ptr [esi+44h],edi
804f9b11 742f je nt!KeAttachProcess+0x46 (804f9b42)
nt!KeAttachProcess+0x17:
804f9b13 80be6501000000 cmp byte ptr [esi+165h],0
804f9b1a 752c jne nt!KeAttachProcess+0x4c (804f9b48)
nt!KeAttachProcess+0x20:
804f9b1c 64a194090000 mov eax,dword ptr fs:[00000994h]
804f9b22 85c0 test eax,eax
804f9b24 7522 jne nt!KeAttachProcess+0x4c (804f9b48)
nt!KeAttachProcess+0x2a:
804f9b26 33c9 xor ecx,ecx
804f9b28 ff1588904d80 call dword ptr [nt+0x1088 (804d9088)]
804f9b2e 884508 mov byte ptr [ebp+8],al
804f9b31 8d864c010000 lea eax,[esi+14Ch]
804f9b37 50 push eax
804f9b38 ff7508 push dword ptr [ebp+8]
804f9b3b 57 push edi
804f9b3c 56 push esi
804f9b3d e890feffff call nt!KeUnstackDetachProcess+0x324 (804f99d2)
整个函数都看了没有调用KiAttachProcess.
|
能力值:
( LV9,RANK:210 )
|
-
-
7 楼
你下最新的调试符号就显示正常了
你调试符号版本不对
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我还没更新,不过我已经明白了,KeUnstackDetachProcess+0x324 (804f99d2)这个其实就是KiAttachProcess.这个了,郁闷
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
windbg的BUG使得我多搞了一天,之前在一帖子上看到,Ke只是设置一些环境,判断=,之后再有Ke调用Ki,我就想怎么Ke里没调用呢,原来调试符号错了.昨天在NtClose里也跟了一下,原来也是ki
|
能力值:
( LV9,RANK:210 )
|
-
-
10 楼
LZ在搞什么呢?比较好奇
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
哈哈,调试RKU,调试TX...玩玩..HOHO~~~
想全部自己实现下!
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
什么叫第一个E8 call
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
CALL 就是E8
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
请教下,WINDBG调试符号文件在哪下载,如何更新呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbols
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
呵呵,它们是不是inline hook了KiAttachProcess
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
KiAttachProcess 这个 API 是干什么用的?
网上没找到说明!
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
附加进程的某一层函数
|
|
|