摘要:
在逆向内核时,发现了这么一个问题,传入参数明显不一致。 通过函数末尾 @16,明显需要四个函数,这里只是传入三个函数。 查看WRK源码,发现其确实需要四个参数。 排除IDA分析错误的前提下,则存在寄存器传入。 这种情况一般IDA会自动给出注释,可以根据注释判断是哪个寄存器传入。 但是,我们可以手动推 阅读全文
摘要:
1. 双击变量 2. 按D转换类型(Word、Byte、Dword) 3. 按U删除变量名 4. 按N修改变量名 阅读全文
摘要:
IDA系统自动注释的,如果按 ';',则不会修改成功。 应该按 Shift + ; 这样才可以修改。 阅读全文
摘要:
该函数由 DbgUiConnectToDbg(ntdll.dll)函数 调用。 其调用时传入的参数如下: 函数作用:初始化被调试的内核对象,将被调试对象句柄放入调试对象的 [fs:f24]处。 1.现在我们了解到 [FS:F24]处存放的是被调试程序的调试对象句柄。 2.当被调试程序中断时,其会发送 阅读全文
摘要:
暂时未解决问题: 1. [fs+0F24h]中存储着什么东西。 答案:其存放着被调试程序的DbgObject句柄。_NtCreateDebugObject(ntoskrnl.exe)函数逆向分析 该函数作用: 创建调试对象,将被调试对象加入到句柄,并将被调试对象放在fs:F24h。 该函数只是简单构 阅读全文