[求助]windbg双击调试,g,然后点击debug下break,无效.-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 2 楼现在发现,这情况只有在开了冰刃后才出现.只要开过冰刃就出现.不管最后有没有关掉冰刃... 2009-8-30 16:59 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼在这个网站上看到了对icesword的分析(http://www.skyhack.com.cn/Article/JNP/FD/200806/1078.html),得知icesword会调用KdDisableDebugger来禁止内核调试. 也许就是这个原因吧.... 其实原本是想搜pspcidtable的,意外.... 2009-8-30 19:37 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼冰刃有反调试，开了它你就别想再断下来了~ 2009-8-31 11:15 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼 Hidekd.exe 2009-8-31 11:45 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 6 楼那个论坛要分数. 谷歌了个 http://www.cnitblog.com/cc682/archive/2008/06/17/45803.html 上传的附件： HideKd.rar （14.09kb，176次下载） 2009-9-1 20:01 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 7 楼郁闷了,我 2009-9-6 21:17 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 8 楼 NetRoc 当然郁闷了好像那个网站就是他的 2009-11-20 02:53 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 9 楼那个网站里是v0.3 而6楼给出的是v0.1 v.01 跳过驱动中对KdDebuggerEnabled、KdEnteredDebugger的检查。跳过对SharedUserData->KdDebuggerEnabled的检查。跳过NtQuerySystemInformation对SystemKernelDebuggerInformation的检查。跳过KdDisableDebugger的调用。使用直接运新HideKd.exe，就可以针对之后加载的驱动或用户模式程序隐藏内核调试器了。这个驱动加载之后只有重起才能卸载。在Windows 2000 Professional和Windows XP SP2英文版中测试通过，其他系统上应该也可以使用。 v0.2 修正了Hook nt!KdDisableDebugger因为第二个字节开始是一个call，在某些情况下可能Hook失败的问题。 v0.3 感谢keenjoy95的建议，修正了一些BUG CR0更改之前设置了CPU亲和性内存改写完毕之后恢复CR0原始值 MajorFunction数组填充现在是完整的修正InlineHook的BUG 支持NetRoc 大哥 2009-11-20 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 2 楼现在发现,这情况只有在开了冰刃后才出现.只要开过冰刃就出现.不管最后有没有关掉冰刃... 2009-8-30 16:59 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼在这个网站上看到了对icesword的分析(http://www.skyhack.com.cn/Article/JNP/FD/200806/1078.html),得知icesword会调用KdDisableDebugger来禁止内核调试. 也许就是这个原因吧.... 其实原本是想搜pspcidtable的,意外.... 2009-8-30 19:37 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼冰刃有反调试，开了它你就别想再断下来了~ 2009-8-31 11:15 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼 Hidekd.exe 2009-8-31 11:45 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 6 楼那个论坛要分数. 谷歌了个 http://www.cnitblog.com/cc682/archive/2008/06/17/45803.html 上传的附件： HideKd.rar （14.09kb，176次下载） 2009-9-1 20:01 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 7 楼郁闷了,我 2009-9-6 21:17 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 8 楼 NetRoc 当然郁闷了好像那个网站就是他的 2009-11-20 02:53 0
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 9 楼那个网站里是v0.3 而6楼给出的是v0.1 v.01 跳过驱动中对KdDebuggerEnabled、KdEnteredDebugger的检查。跳过对SharedUserData->KdDebuggerEnabled的检查。跳过NtQuerySystemInformation对SystemKernelDebuggerInformation的检查。跳过KdDisableDebugger的调用。使用直接运新HideKd.exe，就可以针对之后加载的驱动或用户模式程序隐藏内核调试器了。这个驱动加载之后只有重起才能卸载。在Windows 2000 Professional和Windows XP SP2英文版中测试通过，其他系统上应该也可以使用。 v0.2 修正了Hook nt!KdDisableDebugger因为第二个字节开始是一个call，在某些情况下可能Hook失败的问题。 v0.3 感谢keenjoy95的建议，修正了一些BUG CR0更改之前设置了CPU亲和性内存改写完毕之后恢复CR0原始值 MajorFunction数组填充现在是完整的修正InlineHook的BUG 支持NetRoc 大哥 2009-11-20 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复