随笔分类 - 调试逆向
摘要:在使用 Visual C++ 6.0 (VC6) 编译旧项目或维护遗留代码时,开发者经常会遇到如下资源编译错误: Error RC2176: old DIB in res\app.ico; pass it through SDKPAINT 这个错误提示往往让人摸不着头脑,只能确定是图标文件格式的问题
阅读全文
摘要:在调试Windows的系统组件时,如果能够正确使用pdb文件,能够对调试有非常大的帮助。一般情况下,我们是使用windbg来自动下载符号文件,但是有时候对一些简单的需求来说,用windbg反而比较麻烦。比如我现在有一个PE文件,就想只下载它的pdb文件到当前目录,需求看似简单,但是却没有一个趁手的工
阅读全文
摘要:原文发表于百度空间,2013-08-24 这几天需要把一个程序部署到Win7 64位系统上,本来在32位XP上运行非常正常,在Win7 64位下却各种内存访问错误,于是不得不面对64位系统上调试32位程序这个问题,不料平时使用的fly Ollydbg加载调试目标时各种异常啊,完全不好用,而windb
阅读全文
摘要:原文发表于百度空间,2011-06-20 大致过程如下: LdrInitializeThunk //ring3线程第一次执行从这里开始 ->LdrpInitialize ->_LdrpInitialize ->LdrpInitializeProcess // 如果不是该进程第一次调用,这里会变成Ld
阅读全文
摘要:原文发表于百度空间,2011-04-05 在分析ntfs的B+树时,不可避免地要进行文件名大小的比较,经过观察发现通常我们在资源管理器中看到的文件排序和ntfs中有很大不同。比如,有下面一些文件,在资源管理器中排序如下: 可以看到对汉字是按其汉语拼音排序的。而在ntfs的目录索引中排序如下:观察发现
阅读全文
摘要:原文发表于百度空间,2011-03-24 看雪上别人问的一个问题,顺便在此记录下吧~~
阅读全文
摘要:原文发表于百度空间,2010-09-07 本来只是打算以回复的形式回答一下m_sunv同学关于windbg搜索符号的问题,不料写得太多,超过了评论字数,索性就更详细一点单独写一篇文章来说明一下windbg查找符号文件的问题吧~ 以下所有说明以本人的符号目录设置为前提,我的符号目录设置是:_NT_SY
阅读全文
摘要:原文发表于百度空间,2010-08-11 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定。在Win7之前,可变区域实际有哪些结构,通常是由OBJECT_HEADER中的几个偏移值指出。如下: 其中
阅读全文
摘要:原文发表于百度空间,2010-08-09 在Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTyp
阅读全文
摘要:原文发表于百度空间,2010-08-01 今天花了一点时间把Windows对象管理的变化看了一下,重点放在了Win7这个新的系统上。事实上,在对象管理这一部分上,从XP、2003几乎没有什么变化,到Vista以后,对象的管理依然没有太大变化,只是内核多导出了几个与对象操作有关的函数而已。而到了Win
阅读全文
摘要:原文发表于百度空间,2010-02-22 某游戏的保护系统会检测一些ARK软件的存在,因为ARK的恢复HOOK等功能会对游戏的保护驱动造成一些影响。因此,在该游戏的驱动中内置了一些ARK驱动(也可能有其它类型驱动)的特征黑名单,用以检测这些驱动是否存在,若存在就会提示非法模块,要求重启后方可正常进行
阅读全文
摘要:原文发表于百度空间,2009-11-08 这是第一次逆向一个企业级安全产品的核心代码,并完美替换原驱动正常工作 RT.逆向用了两天(后面还花了一些断断续续的时间查看细节)还原成源码并编译通过用了两天编译通过的驱动调试排错则断断续续用了一周的时间。。。目前可以替换原驱动正常运行,感觉已相当完美。贴张C
阅读全文
摘要:原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被雪藏了一段时间 Author:achillisblog :https://www.cnblogs.c
阅读全文
摘要:原文发表于百度空间及看雪论坛,2009-10-08 看雪论坛地址:https://bbs.pediy.com/thread-99128.htm 看时间,09年的国庆节基本上就搞这玩意儿了。。。 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。 我
阅读全文
摘要:原文发表于百度空间,2009-04-17 关于调试没有符号的驱动时如何断在入口点处这个问题,先说一个我听来的很挫的方法:用C32ASM修改DriverEntry处为0xCC,就是int 3,修正校验和后加载,执行到DriverEntry时产生int 3异常自然就会中断在调试器了,这时再把原来的指令改
阅读全文
摘要:原文发表于百度空间,2009-01-09 这一节的内容是Windbg入门,用一些基本的命令告诉你如何使用Windbg~~仅作入门,更详细的可以参考Raymond老师的《软件调试》的第30章 "WinDbg用法详解"和Windbg自带的帮助文件 我使用调试器的经验完全来自于Ring3的Ollydbg,
阅读全文
摘要:原文发表于百度空间,2008-12-18 标准栈回溯要求回溯中的每个函数都以如下指令作为开头(当然不是说不这样开头就不能回溯,那样就得特殊处理了):push ebpmov ebp,esp接下来的工作通常是为临时变量开辟空间sub esp,0x40... 在函数结束时,会还原ebp和esp寄存器的值,
阅读全文
摘要:原文发表于百度空间,2008-10-4看雪论坛发表地址:https://bbs.pediy.com/thread-73948.htm 这篇文章是在Servex.exe专杀工具写完之后的一些小小感想,关于PE感染和修复,大牛飘过~ 自某日不小心中了Serverx.exe病毒,电脑中大部分EXE文件被感
阅读全文
摘要:调试dll的时候会有一件事情比较烦人,就是dll加载的地址不会很固定(默认设置下编译的dll基址总是0x10000000,多个同基址的dll加载时,后面的肯定会被重定位),这给前后多次调试时对比分析结果造成了一些麻烦,要解决这个问题,有两种办法。方法一:直接修改dll文件PE头中的ImageBas...
阅读全文
浙公网安备 33010602011771号