-
-
[分享]研究某保护,不能用普通od附加的原因
-
发表于:
2012-3-23 16:21
4619
-
现象:
用普通od附加,刚附加玩,就会出现异常,通过查阅相关文章,发现可能是DbgUiRemoteBreakin 被动了手脚。
验证结果:
动手脚的DbgUiRemoteBreakin:
02901E13 > 6A 08 push 0x8
02901E15 68 601E977C push 0x7C971E60
02901E1A E8 ACCAFBFF call 4c866df0.028BE8CB //这里!!
02901E1F 64:A1 18000000 mov eax,dword ptr fs:[0x18]
02901E25 8B40 30 mov eax,dword ptr ds:[eax+0x30]
正常的:
7C971E13 > 6A 08 push 0x8
7C971E15 68 601E977C push ntdll.7C971E60
7C971E1A E8 ACCAFBFF call ntdll._SEH_prolog
7C971E1F 64:A1 18000000 mov eax,dword ptr fs:[0x18]
7C971E25 8B40 30 mov eax,dword ptr ds:[eax+0x30]
对比发现,异常模块地址是 02901E13, 显然不是正常的 ntdll所在某块。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
