![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
调试
文章平均质量分 70
pureman_mega
这个作者很懒,什么都没留下…
展开
-
[小记]注入服务进程/跨session注入
(都是系统管理员权限启动)左边是重启后,右边是重启前。进程的SeDebugPrivilege被“点开"后,可以注入svchost.exe。目标进程是svchost.exe,是服务进程,在session0;弄巧成拙:通过ProcessHacker把资源管理器进程重启后,发现又可以注入服务进程了。所有和session没有什么关系,那是为什么?最近测试注入遇到一个问题:OpenProcess 失败,报错码:5,没有权限。1,是否是管理员权限启动程序?2,注入的目标进程有什么特殊?3,上网搜索相关内容并继续试验。原创 2023-02-14 11:00:09 · 448 阅读 · 0 评论 -
(VMProtect 分析)跟着ida和WinDbg逛VirtualMachine
本文中的代码示例来源于vgk.sys(1.0.0.3):从文件中抽出的某个handler的开头部分,代码出现的先后顺序就是其逻辑上的执行顺序。如下: .stub0:00000001405BC2AD push 2B6CD1BFh.stub0:00000001405BC2B2 call handler5.stub0:00000001405716F3 handler5 proc near原创 2021-12-06 18:03:13 · 1361 阅读 · 0 评论 -
在应用层调试驱动程序 vgk.sys
***以下记录如何在应用层调试驱动程序vgk.sys,以及调试过程中获得的一些数据。1,如何让vgk.sys 在应用层跑起来?vgk.sys 是某游戏反作弊程序的一部分,是一个驱动文件;本文调试的vgk.sys 版本是1.0.0.3,64位。正常情况下,驱动程序需要在ring0环境中运行。但是vgk.sys 经过混淆虚拟化处理了,windbg双机调试/交互会很慢。之前在其他论坛上有人提起:可以在ring3调试驱动文件。于是,我就试了试。首先,看一下驱动程序和普通程序文件之间的相同点与不同点(大.原创 2021-11-18 16:09:13 · 1895 阅读 · 0 评论 -
windbg 设置忽略access violation
问题:调试程序,遇到 访问寄存器所指的地址导致access violation?之前调试,使用 'r @rip=0x****' 指令是有效的,但是突然遇到修改寄存器内容之后单步运行,寄存器的内容又还原了。widbg 输出:"This exception may be excepted and not handled",意思是windbg 捕获到了这个异常并且没有处理;然后导致程序一直卡在这里无法往下单步调试。解决方法:windbg中设置相应的地方即可:1,在windbg 菜单栏中Debug单原创 2021-11-10 10:30:27 · 648 阅读 · 0 评论 -
Safengine Shielden v2.3.7.0 驱动脱壳
前言: 之前找工作的时候,注意到有个公司找windows驱动开发/逆向工程师,所以他们公司产品里面应该包含有驱动程序(呐,必须的学习一波)。首先,安装他们公司的相关产品,然后找到里面的驱动文件;一看驱动文件几百k,应该是加壳了(Safengine Shielden v2.3.7.0)。如下图:脱壳过程: 文件丢进ida里面发现没法看,脱壳当然是不会脱壳的。嗯,先把驱动跑起来吧。创建服务,启动服务;驱动成功跑起来了。驱动程序运行之后,对应的会有一些数据产生:1,通过winObj类似工具...原创 2021-10-28 10:03:39 · 5697 阅读 · 0 评论 -
fanny equation 1
(在搜索'fanny'之前,我一直把它当作'funny',看到baid结果后又学到新知识。)相关背景:https://securelist.com/a-fanny-equation-i-am-your-father-stuxnet/68787/环境:vista sp2 32工具:windbg,vc6.0fanny.dll包含有漏洞的利用过程,下面简单记录如何让它跑起来并在相应的系统环境下触发漏洞修改NtShutdownSystem的代码作为下一步的跳板。首先需要对fanny.dll做一点处.原创 2020-08-18 17:25:07 · 258 阅读 · 0 评论