摘要：在调试韩国某游戏HS保护的时候，由于主程序被加了TMD(TheMida)壳，根本就没法在虚拟机里调试； 作为刚学驱动的新手来说这是一个无比摧残人的事，耗费重启时间不说 损害硬盘丢失资料~ 还有那些无辜躺在硬盘里的岛国女人们。。。。 为了使他们都免受伤害，翻遍看雪谷歌都不得其法。 最后不得已FQ出去搜，结果搞定鸟！ 搞定的那刻 硬盘里的岛国人们那个欢呼雀跃啊..... 阅读全文

摘要：记录调试过程碰到的一些问题以及需要的小细节， 方便以后查阅， 看客请直接无视~ 阅读全文

摘要：感谢sudaim同学的回答，让我等小菜不必费劲脑经想起他办法进入http://bbs.pediy.com/showthread.php?t=128515windbg连上VM,在虚拟机启动的时候break一下,然后输入:sxe ld 360SelfProtectiong 不一会就会断下,如下kd> lmvm 360SelfProtection start end module namef67b4000 f67d1980 360SelfProtection (no symbols) Loaded symbol image file: 360SelfProtection.sysImage pa 阅读全文

摘要：TEB偏移0x30处，即FS:[0x30]地址处保存着一个指针，指向PEB，PEB结构的偏移0xC处保存着另外一个指针ldr，该指针执行PEB_LDR_DATA 该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针，分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。 Peb->Ldr->InitializationOrderModuleList指向按照初始化顺序排序的第一个LDR_MODULE节点的InInitializationOrderModuleList成员的指针，在WinNT平台下，该链表头节点的LDR_MODULE结构包含的是NTDLL.DLL，而链表的下一个节点所包含的就是Kernel32.dll相关的信息。 汇编核心代码 阅读全文