本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com

主题|回复

  帖子 版块 回复/查看 最后发帖
如何检测系统中的被修改了的代码 逆向 & 调试综合讨论 6 3294 wowocock 2009-6-16 11:27:33
  A大啥子意思??
如何检测系统中的被修改了的代码 逆向 & 调试综合讨论 6 3294 wowocock 2009-6-16 11:27:33
  额,刚想到一个问题,如果直接这么干的话,那代码里面的某些 跳转或者call之类的,需要动态定位的代码, ...
被调试系统是XP,windbg中有没有什么方法可以显示当前中断位置的代码运行于哪个IRQL上 逆向 & 调试综合讨论 5 3838 erty 2009-6-12 12:02:38
  !pcr 这个命令,windbg的帮助文件上说,此命令得到的 IRQL 其实并不是大多数情况下感兴趣的 IRQL之。 “but ...
关于Shadow Walker 隐藏 EPROCESS 的问题 逆向 & 调试综合讨论 11 4560 atkdef 2010-6-9 16:06:08
  边调边等牛人指点~~~~
关于Shadow Walker 隐藏 EPROCESS 的问题 逆向 & 调试综合讨论 11 4560 atkdef 2010-6-9 16:06:08
  恩,调好是可以分享,关键是怎么调,好像MJ说,可以将非分页的设置为分页的,如何设置之?? ...
有没有哪个函数可以判断一个虚拟地址是属于分页或是非分页内存的? 逆向 & 调试综合讨论 9 3391 cleverman 2009-6-2 04:39:52
  哦,是不是 sysnap 的那个帖子??《 内存搜索对象.. 》 ???
有没有哪个函数可以判断一个虚拟地址是属于分页或是非分页内存的? 逆向 & 调试综合讨论 9 3391 cleverman 2009-6-2 04:39:52
  哦,原来这样, 那个帖子名字叫啥? 等我去观摩一下。。。。。 谢谢。。。。 ...
有没有哪个函数可以判断一个虚拟地址是属于分页或是非分页内存的? 逆向 & 调试综合讨论 9 3391 cleverman 2009-6-2 04:39:52
  来来,亲爱的MJ牛可否指点一下我提的这个问题 ???
有没有哪个函数可以判断一个虚拟地址是属于分页或是非分页内存的? 逆向 & 调试综合讨论 9 3391 cleverman 2009-6-2 04:39:52
  请问是 啥子茅老师的新作?? 书名可否告知? 谢谢。。。。
关于Shadow Walker 隐藏 EPROCESS 的问题 逆向 & 调试综合讨论 11 4560 atkdef 2010-6-9 16:06:08
  回到家,继续研究了一下。。。 发现是不是 Shadow walker 存在这样一个问题。。。 那就是只能隐藏分页内 ...
关于Shadow Walker 隐藏 EPROCESS 的问题 逆向 & 调试综合讨论 11 4560 atkdef 2010-6-9 16:06:08
  在慢慢调ing, 我将 ERPOCESS 所在的页的PDE(因为是大页面,所以不用PTE)设为不存在后,下一步调用 Invlpg ...
关于映射到 0xC000000和 0xC030000 位置的PTE,PDE的问题 逆向 & 调试综合讨论 12 5248 erty 2009-6-1 16:39:46
  感谢几个牛的指点,最近在研究SW,对这个问题也算是搞明白了,结贴,谢谢。 ...
关于Shadow Walker 隐藏 EPROCESS 的问题 逆向 & 调试综合讨论 11 4560 atkdef 2010-6-9 16:06:08
  赫赫,才看到有人回,我都已经开始在改代码了,先谢谢西裤哥哥。。 那我现在的代码里是这么做的,先得 ...
如何将自己驱动内的某个函数锁定为不会换出? 逆向 & 调试综合讨论 3 2967 MJ0011 2009-5-30 03:47:58
  收到,我去试试。。。 另外问个问题。。 那第三方的驱动一般是不是直接加载在分页内存(Paged)上的?有可 ...
关于映射到 0xC000000和 0xC030000 位置的PTE,PDE的问题 逆向 & 调试综合讨论 12 5248 erty 2009-6-1 16:39:46
  谢谢 wowocock 牛,不过这些我知道,我的问题是,寻址使用CR3 就足够了,干嘛还要映射一个PDE 和 PTE , ...
在NP面前失败 逆向 & 调试综合讨论 15 6154 RainbowJay 2009-11-24 14:26:53
  反 sofiICE 是因为NP 将softice 改写的 INT1 INT3 中断例程替换了 其实按照我的理解,替换 int1 int3 可 ...
Hook KiTrap0E(缺页异常) 能保护指定的进程么? 逆向 & 调试综合讨论 8 4935 erty 2009-5-22 11:57:01
  sw_remove 的代码下不到了。。。 文章看的不清不楚的。。。。。。。 楼上的牛可否说下? 另外,我看到vxk ...
Hook KiTrap0E(缺页异常) 能保护指定的进程么? 逆向 & 调试综合讨论 8 4935 erty 2009-5-22 11:57:01
  再问个问题, 如何检测 shadow walker ??
在NP面前失败 逆向 & 调试综合讨论 15 6154 RainbowJay 2009-11-24 14:26:53
  LZ 想问的是 如何反 NP 的反windbg 功能???
Hook KiTrap0E(缺页异常) 能保护指定的进程么? 逆向 & 调试综合讨论 8 4935 erty 2009-5-22 11:57:01
  不明白啊不明白。。。 MJ 大大能再说清楚点么??

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-5-27 22:45 , Processed in 0.057785 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部