DebugPort一直被清零如何简单的处理
DebugPort一直被清零如何简单的处理DebugPort位于 eprocess+bc处
然后用windbg或者Kernel Detective取目标进程的
eprocess的地址,现我的地址为 81923020
然后请出伟大的 softice 下 bpm 81923020+bc
.text:000113DA push ebx
.text:000113DB push esi
.text:000113DC mov esi, offset dword_1A190
.text:000113E1 push edi
.text:000113E2 mov ecx, esi
.text:000113E4 mov bl, 1
.text:000113E6 call ds:KfAcquireSpinLock
.text:000113EC call loc_113F5
.text:000113EC ; ---------------------------------------------------------------------------
.text:000113F1 dd 7402F883h ; 垃圾代码
.text:000113F5 ; ---------------------------------------------------------------------------
.text:000113F5
.text:000113F5 loc_113F5: ; CODE XREF: .text:000113EC p
.text:000113F5 add esp, 4
.text:000113F8 mov ecx, out_P_eprocess_10
.text:000113FE mov edi, offset out_P_eprocess_10
.text:00011403 cmp ecx, edi
.text:00011405 jz short loc_1141F
.text:00011407 xor bl, bl
.text:00011409 push ebp
.text:0001140A
.text:0001140A loc_1140A: ; CODE XREF: .text:0001141C j
.text:0001140A mov ebp, // eprocess 地址
.text:0001140D add ebp, debugproc_BC // add ebp,bc
.text:00011413 xor edx, edx
.text:00011415 xchg edx, //清0
.text:00011418 mov ecx, // 不出意外断在这
.text:0001141A cmp ecx, edi
.text:0001141C jnz short loc_1140A
.text:0001141E pop ebp
.text:0001141F
.text:0001141F loc_1141F: ; CODE XREF: .text:00011405 j
.text:0001141F mov dl, al
.text:00011421 mov ecx, esi
.text:00011423 call ds:KfReleaseSpinLock
.text:00011429 pop edi
.text:0001142A pop esi
.text:0001142B mov al, bl
.text:0001142D pop ebx
.text:0001142E retn
Kernel Detective 是个不错的工具,可以随便修改内核代码!
楼猪V5啊 这个我要收藏一下 支持楼主,用户楼主,楼主英明呀! 就喜欢楼主这样的哈哈哈
页:
[1]