-
-
一篇不错的文章,可惜只能在win2000上
-
发表于:
2006-10-25 08:36
3382
-
335K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2j5%4g2J5K9i4c8&6i4K6u0V1j5i4y4K6k6i4y4K6L8h3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3N6$3S2A6N6r3g2H3j5i4m8W2M7Y4y4Q4x3V1k6b7M7X3g2p5k6h3u0#2k6#2)9J5k6i4m8V1k6R3`.`.
Bugger the Debugger: Pre Interaction Debugger Code Execution
本意是在PE Loader/Debugger初始化程序后,而没有重新获得控制权之前,运行你的特定代码,前提包括替换掉比如kernel32.DLL。
可惜从XP开始,system file protection会检查%windir%下的文件的hash,比如SHA1或者其它什么的(因为很多文件的digital signature的hash用的就是SHA1,故做此猜测),如果不match它预先设定的值,就从system cache里拷过来覆盖掉。如果你把文件直接拷贝到system cache,则整个文件夹里所有文件的总hash也会变,系统就会提示你插入XP的CD来恢复。所以文章里的方法在XP及以上的系统上是行不通的。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
