TA的每日心情 | 开心
2024-12-9 18:45 |
|---|
签到天数: 124 天 [LV.7]常住居民III
|
|
欢迎您注册加入!这里有您将更精采!
您需要 登录 才可以下载或查看,没有账号?注册
x
DebugPort位于 eprocess+bc处
然后用windbg或者Kernel Detective取目标进程的
eprocess的地址,现我的地址为 81923020
然后请出伟大的 softice 下 bpm 81923020+bc- .text:000113DA push ebx
- .text:000113DB push esi
- .text:000113DC mov esi, offset dword_1A190
- .text:000113E1 push edi
- .text:000113E2 mov ecx, esi
- .text:000113E4 mov bl, 1
- .text:000113E6 call ds:KfAcquireSpinLock
- .text:000113EC call loc_113F5
- .text:000113EC ; ---------------------------------------------------------------------------
- .text:000113F1 dd 7402F883h ; 垃圾代码
- .text:000113F5 ; ---------------------------------------------------------------------------
- .text:000113F5
- .text:000113F5 loc_113F5: ; CODE XREF: .text:000113EC p
- .text:000113F5 add esp, 4
- .text:000113F8 mov ecx, out_P_eprocess_10
- .text:000113FE mov edi, offset out_P_eprocess_10
- .text:00011403 cmp ecx, edi
- .text:00011405 jz short loc_1141F
- .text:00011407 xor bl, bl
- .text:00011409 push ebp
- .text:0001140A
- .text:0001140A loc_1140A: ; CODE XREF: .text:0001141C j
- .text:0001140A mov ebp, [ecx-10h]// eprocess 地址
- .text:0001140D add ebp, debugproc_BC // add ebp,bc
- .text:00011413 xor edx, edx
- .text:00011415 xchg edx, [ebp+0]//清0
- .text:00011418 mov ecx, [ecx] // 不出意外断在这
- .text:0001141A cmp ecx, edi
- .text:0001141C jnz short loc_1140A
- .text:0001141E pop ebp
- .text:0001141F
- .text:0001141F loc_1141F: ; CODE XREF: .text:00011405 j
- .text:0001141F mov dl, al
- .text:00011421 mov ecx, esi
- .text:00011423 call ds:KfReleaseSpinLock
- .text:00011429 pop edi
- .text:0001142A pop esi
- .text:0001142B mov al, bl
- .text:0001142D pop ebx
- .text:0001142E retn
|
|
|Archiver|手机版|小黑屋|联系我们|宝峰科技
( 
滇公网安备 53050202000040号 | 滇ICP备09007156号-2 )
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡