能力值:
( LV2,RANK:10 )
|
-
-
51 楼
只能膜拜,收藏以后有空学习。这样的帖子给个关注应该够资格了吧,可能是对象不够和谐吧。
|
能力值:
( LV3,RANK:30 )
|
-
-
52 楼
xp sp3
|
能力值:
( LV2,RANK:10 )
|
-
-
53 楼
 很黄很暴力哦,可惜还不懂这比较底层的东西
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
dnf应该是tx自己加的一层驱动保护吧。我记得国内还有一个叫完美时空的公司也做过这样的事
|
能力值:
( LV2,RANK:10 )
|
-
-
55 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
拜一个
顶顶顶顶
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
我安装驱动启动后一会就蓝屏 不知道为何
|
能力值:
( LV9,RANK:200 )
|
-
-
58 楼
牛逼 呀 这么长估计你这一个月 都没休息
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
这是纯技术贴,赞!
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
学习无止境,你就是我的偶像
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
为什么DRIVER的编译出不来驱动呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
出来的是一个HELLDDK.SYS
|
能力值:
( LV2,RANK:10 )
|
-
-
63 楼
膜拜下,学习下~!
|
能力值:
( LV2,RANK:10 )
|
-
-
64 楼
汗,误导青少年
Dmpp_1和Dmpp_2是DbgkpMarkProcessPeb 中的两处调用DEBUGPORT的代码地址
虽然楼主跟我一样用的是XP SP3 但是硬编码地址还是有差别的,楼主应该改成查找特征码来定位地址就方便小学生了
|
能力值:
( LV9,RANK:200 )
|
-
-
65 楼
能否说下如何查找 访问DebugPort的地方 这个地方有点不太明白 谢谢楼主
|
能力值:
( LV9,RANK:200 )
|
-
-
66 楼
64 楼 我也用了查找特征码的方法 不过好像每个机器的不一样呀
|
能力值:
( LV9,RANK:200 )
|
-
-
67 楼
我用的虚拟机 没有第二台机器做实验 两个系统都是SP3 但是特征码不一样
|
能力值:
( LV9,RANK:200 )
|
-
-
68 楼
看了 第2篇回复 好像过效验 在自己的代理函数 设置返回值就可以了 坛子上有个牛人写的 不过我用它的蓝屏
叫什么绕过NTOPENROCESS的
|
能力值:
( LV3,RANK:30 )
|
-
-
69 楼
Dmpp——函数名的大写
_1代表第一处,_2代表第二处要修改的,而不是其他函数
|
能力值:
( LV2,RANK:10 )
|
-
-
70 楼
lkd> uf DbgkpMarkProcessPeb
nt!DbgkpMarkProcessPeb:
80642cf2 6a20 push 20h
80642cf4 68881e4e80 push offset nt!`string'+0x2b8 (804e1e88)
80642cf9 e8829eefff call nt!_SEH_prolog (8053cb80)
80642cfe 8b7508 mov esi,dword ptr [ebp+8]
80642d01 8d8e80000000 lea ecx,[esi+80h]
80642d07 e8c2a6fcff call nt!ExAcquireRundownProtection (8060d3ce)
80642d0c 84c0 test al,al
80642d0e 7469 je nt!DbgkpMarkProcessPeb+0x87 (80642d79)
nt!DbgkpMarkProcessPeb+0x1e:
80642d10 33ff xor edi,edi
80642d12 39beb0010000 cmp dword ptr [esi+1B0h],edi
80642d18 7454 je nt!DbgkpMarkProcessPeb+0x7c (80642d6e)
nt!DbgkpMarkProcessPeb+0x28:
80642d1a 8d45d0 lea eax,[ebp-30h]
80642d1d 50 push eax
80642d1e 56 push esi
80642d1f e8fe6eebff call nt!KeStackAttachProcess (804f9c22)
80642d24 b940b55580 mov ecx,offset nt!DbgkpProcessDebugPortMutex (8055b540)
80642d29 ff1518914d80 call dword ptr [nt!_imp_ExAcquireFastMutex (804d9118)]
80642d2f 897dfc mov dword ptr [ebp-4],edi
80642d32 33c0 xor eax,eax
80642d34 39bebc000000 cmp dword ptr [esi+0BCh],edi
80642d3a 0f95c0 setne al
80642d3d 8b8eb0010000 mov ecx,dword ptr [esi+1B0h]
80642d43 884102 mov byte ptr [ecx+2],al
80642d46 834dfcff or dword ptr [ebp-4],0FFFFFFFFh
80642d4a eb0e jmp nt!DbgkpMarkProcessPeb+0x68 (80642d5a)
nt!DbgkpMarkProcessPeb+0x68:
80642d5a b940b55580 mov ecx,offset nt!DbgkpProcessDebugPortMutex (8055b540)
80642d5f ff151c914d80 call dword ptr [nt!_imp_ExReleaseFastMutex (804d911c)]
80642d65 8d45d0 lea eax,[ebp-30h]
80642d68 50 push eax
80642d69 e86669ebff call nt!KeUnstackDetachProcess (804f96d4)
nt!DbgkpMarkProcessPeb+0x7c:
80642d6e 8d8e80000000 lea ecx,[esi+80h]
80642d74 e8afa6fcff call nt!ExReleaseRundownProtection (8060d428)
nt!DbgkpMarkProcessPeb+0x87:
80642d79 e83d9eefff call nt!_SEH_epilog (8053cbbb)
80642d7e c20400 ret 4
这个是nt!DbgkpMarkProcessPeb函数,我的机子的硬编码如上,我不知道要改哪个地方了,迷糊
|
能力值:
( LV2,RANK:10 )
|
-
-
71 楼
下载一个备用,谢谢提供。
|
能力值:
( LV2,RANK:10 )
|
-
-
72 楼
天书,看不懂啊…………
慢慢学习了。
|
能力值:
( LV2,RANK:10 )
|
-
-
73 楼
辛苦了,收藏学习
|
能力值:
( LV3,RANK:30 )
|
-
-
74 楼
80642d34 39bebc000000 cmp dword ptr [esi+0BCh],edi
xxx+0BCh,找这样的,不过并非所有的都要改,你要看看具体他干嘛
|
能力值:
( LV2,RANK:10 )
|
-
-
75 楼
顶 回帖是美德 ··
|
|
|
|
