09 2012 档案

摘要：有时候用XueTr能发现内核模块是未知的，很想知道这个未知的内核模块到底是个什么文件，躲在硬盘的哪个角落？可以用WINDBG 更改物理内存，这样就会蓝屏，然后再用WINDBG 分析dump文件。先反汇编那个未知模块某个地址处（用XueTr是可以看到未知模块的地址的）的代码，然后u XXXXXXXX，反汇编用eb XXXXXXXX 12 34 56 78 把XXXXXXXX地址处的数据修改为12 34 56 78，一般会蓝屏的，然后用windbg打开dump文件，就可以知道是哪个模块了。 阅读全文

摘要：窗口→线程ID→线程开始地址→关键代码在破解一些软件的时候，程序经常会弹出一些对话框，说注册码不对啊之类的，用vc6.0的spy++可以这个对话框的一些信息，比如HANDLE name class 还有这个窗口所在的线程ID和进程ID，有了线程ID能不能得到线程开始的地址呢？ 能，XueTr能够根据TheadID获取到线程的开始地址，网上看了下相关资料，是用 ZwQuerySystemInformation的9号实现的。找到线程开始的地址，那么就离关键跳转不远了。呵呵。 阅读全文