首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]调试LoadLibraryA
发表于: 2009-2-15 10:58 7462

[求助]调试LoadLibraryA

liuyilin 活跃值
2009-2-15 10:58
7462
请教如果F8过CALL[LoadLibraryA]没有问题
F7进CALL[LoadLibraryA]后就无法返回呢?遇到一个异常地址JMP F5356AF0
为什么F8过CALL[LoadLibraryA]就没有问题呢?????

例如:
010072FD |. |85C0 TEST EAX,EAX
010072FF |. |8B35 C8100001 MOV ESI,DWORD PTR DS:[<&KERNEL32.LoadLib>; kernel32.LoadLibraryA
01007305 |. |74 0E JE SHORT notepad.01007315
01007307 |. |8D85 F8FEFFFF LEA EAX,DWORD PTR SS:[EBP-108]
0100730D |. |50 PUSH EAX ; /FileName
0100730E |. |FFD6 CALL ESI ; \LoadLibraryA//这里如果用F8没有问题!!!!!!
01007310 |. |A3 A89A0001 MOV DWORD PTR DS:[1009AA8],EAX
01007315 |> |8B0D A89A0001 MOV ECX,DWORD PTR DS:[1009AA8]
0100731B |. |85C9 TEST ECX,ECX
0100731D |. |75 13 JNZ SHORT notepad.01007332
0100731F |. |68 48180001 PUSH notepad.01001848 ; ASCII "hhctrl.ocx"

0100730E处如果用F7进入DLL中
7C882F9C > 55 PUSH EBP
7C882F9D 8BEC MOV EBP,ESP
7C882F9F 90 NOP
7C882FA0 5D POP EBP
7C882FA1 - E9 4A3BAD78 JMP F5356AF0//到这里就异常了!!!!!!!!这个地址F5356AF0没有吗?怎么不进来就没有异常呢?
7C882FA6 90 NOP

谢谢

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (14)
海风月影
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
2
卸载卡巴斯基
2009-2-15 13:30
0
uvbs
雪    币: 30
活跃值: (755)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
有意思哈, 以前也碰到过,当时以为OD显示问题 或者 OD 已经处理错误指令, 还是牛人来回答吧
2009-2-15 13:31
0
liuyilin
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
已经卸载卡巴斯基,问题依旧,不能解决
2009-2-15 20:20
0
XSJS
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
有趣的问题,同求!
2009-2-15 21:15
0
凉水冰凉
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
有爆先箱嘛?
2009-2-15 22:00
0
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
是不是卡巴的 klif.sys 驱动还在呢
2009-2-15 22:44
0
liuyilin
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
[QUOTE=;]...[/QUOTE]
谢谢海风月影;zrhai 已经解决,确实是卡巴的 klif.sys 驱动偌的祸
膜拜中
2009-2-15 23:07
0
btba
雪    币: 217
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
牛淫...............
2009-2-16 20:21
0
TonyGuo
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
学习了
2009-2-17 09:23
0
wangdebiao
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
为什么巴的 klif.sys 驱动还在,就会有这个问题呢??小弟还是不懂。
2009-3-20 10:47
0
轩辕小聪
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
12
7C882F9C > 55 PUSH EBP
7C882F9D 8BEC MOV EBP,ESP
7C882F9F 90 NOP
7C882FA0 5D POP EBP
7C882FA1 - E9 4A3BAD78 JMP F5356AF0//到这里就异常了!!!!!!!!这个地址F5356AF0没有吗?怎么不进来就没有异常呢?
7C882FA6 90 NOP

这个JMP代码就是klif.sys对LoadLibraryA的inline hook。所以楼上几位一看到这个,就知道是卡巴斯基了。
2009-3-20 13:49
0
apollone
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
都是牛人啊!
2009-3-20 14:07
0
CoCoLin
雪    币: 263
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
卡巴HOOK,直接跳驱动去了,得开双机调试
2009-3-21 14:37
0
mohuanyd
雪    币: 281
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
学习了,感谢~
2009-3-22 08:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//