-
-
一个虚拟驱动的自校验“壳”如何处理
-
发表于:
2007-5-11 16:33
6470
-
下载了一个MAPGIS虚拟HID设备,想调整一下这个.SYS文件的个别参数,以便当做软件狗,用于更多的测试。
但是在修改虚拟HID文件hidog.sys时发现,用Softice在内存中动态修改参数时可以实现更改VID/PID参数的要求。但直接修改hidog.sys后,虚拟设备启动不了。测试一下,即使在没用的节中改一个字节,文件也失效了, 启用“设备”时,系统提示“文件已损坏”。
我猜想,也许Hidog.sys也加了某种自校验的“壳”,但用PEid查hidog.sys,没有显示加壳,是不是PEid对驱动程序无效? 这个驱动级上的程序,改过字节后,以前Softice能断的点全都失效了,如何下断点,去找自校验代码呢? 更不清楚是不是,系统对设备驱动文件有CRC之类校验,还是WDM编译是对SYS文件加了特殊的校验。
请教各位大侠,如何解决这样的问题?
我没有上传的权限,MAPGIS虚拟狗放在我下面的地址中:
8e7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8&6K9X3A6T1P5r3u0Q4x3X3g2&6M7K6p5$3z5q4)9J5k6h3y4G2L8g2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0V1i4K6u0V1i4K6u0V1i4K6u0V1i4K6u0V1i4K6u0V1i4K6u0V1i4@1f1J5i4K6R3H3i4K6W2o6e0h3q4H3k6$3W2K6i4@1f1%4i4K6S2n7i4K6V1%4i4@1f1J5i4K6R3H3i4K6W2p5
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
