[求助]Drx寄存器除了G(S)etThreadContext以外，还有没有其他方法读写？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼调试器修改被调试程序的线程上下文才会用GetThreadContext和SetThreadContext，程序线程自己修改自己的线程上下文只需要使用结构化异常处理（SEH）就可以了。从楼主的描述看，很可能是壳中采用了SEH来anti-debug，这是加密壳采用的典型的anti-debug方式，楼主应该学习一下这方面的知识。 2009-7-12 18:57 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 3 楼我只问个简单的问题，如何不用SetThreadContext来修改dr0-dr7的寄存器，直接mov dr0,eax会报异常，似乎只能在ring0里面改…… 不过已经能在OEP处断下了，也可以将程序dump出来，要补的区段也通过Hook VirtualAllocEx得到了。不过securom真是变态，一堆cpuid做加密种子，被加密的这些代码要在以后运行过程中才被解密出来，而加密着的代码每次都不一样，写了一个Loader把这些段加载上去也运行不了。翻了翻了老帖，才知道它用了当前进程ID做加密种子，下断GetCurrentProcessId发现确实如此。只能再试试看了，不过这壳太硬，我这样的菜鸟估计脱不了了…… 2009-7-12 19:51 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 4 楼不用GetThreadContext获取Context:发生异常时，系统会将Context结构传给在SEH链中注册的HANDLER。不用SetThreadContext设置Context:当异常处理结束时，系统调用NtContinue()可以重新装载线程的Context. 2009-7-12 19:51 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 5 楼原来是修改异常处理程序传递进来的Context参数就可以修改drx了，谢谢。 2009-7-12 19:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼用内核调试器就可以修改DRX了 2009-7-12 20:11 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼 LZ喜欢倒着来? 2009-7-12 21:51 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 8 楼 SEH吧勇于调戏SR的都是高手.. 2009-7-13 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼调试器修改被调试程序的线程上下文才会用GetThreadContext和SetThreadContext，程序线程自己修改自己的线程上下文只需要使用结构化异常处理（SEH）就可以了。从楼主的描述看，很可能是壳中采用了SEH来anti-debug，这是加密壳采用的典型的anti-debug方式，楼主应该学习一下这方面的知识。 2009-7-12 18:57 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 3 楼我只问个简单的问题，如何不用SetThreadContext来修改dr0-dr7的寄存器，直接mov dr0,eax会报异常，似乎只能在ring0里面改…… 不过已经能在OEP处断下了，也可以将程序dump出来，要补的区段也通过Hook VirtualAllocEx得到了。不过securom真是变态，一堆cpuid做加密种子，被加密的这些代码要在以后运行过程中才被解密出来，而加密着的代码每次都不一样，写了一个Loader把这些段加载上去也运行不了。翻了翻了老帖，才知道它用了当前进程ID做加密种子，下断GetCurrentProcessId发现确实如此。只能再试试看了，不过这壳太硬，我这样的菜鸟估计脱不了了…… 2009-7-12 19:51 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 4 楼不用GetThreadContext获取Context:发生异常时，系统会将Context结构传给在SEH链中注册的HANDLER。不用SetThreadContext设置Context:当异常处理结束时，系统调用NtContinue()可以重新装载线程的Context. 2009-7-12 19:51 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 5 楼原来是修改异常处理程序传递进来的Context参数就可以修改drx了，谢谢。 2009-7-12 19:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼用内核调试器就可以修改DRX了 2009-7-12 20:11 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼 LZ喜欢倒着来? 2009-7-12 21:51 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 8 楼 SEH吧勇于调戏SR的都是高手.. 2009-7-13 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复