TX DebugPort 清零

gh99 · 发表于 2011-8-7 10:07:08

如果是直接来要最终结果的，请绕行，这里只对debugport 清零代码进行逆向。

由于TX会Anti Windbg，用上次的方法后，Windbg能很好的跑起来，但是作者还是热衷于单机调试，在一次偶然的情况下，发现TX没有对SyserDebugger进行anti，这里膜拜下syserdebugger的作者，该调试器据说是作者一人开发，而该作者对内核的熟悉程度，让人有点想流口水。

不管是windbg还是syserdbg，你都可以下对EPROCESS+0xbc的写入断点。

windbg ba w addr

syser bpm addr w

这里我们看到syser是兼容了softice指令的。下断后很快就会被断下，可见debugport被清零之频繁。

syser debugger 的菜单有时候会不灵，暂时只能用命令了。 u eip-40.

我们可以清晰的看到tessafe.sys如何对DebugPort清零的

游客，如果您要查看本帖隐藏内容请回复

紫色水精灵 · 发表于 2011-8-7 11:20:09

看看在学驱动

小噹 · 发表于 2011-8-10 14:19:43

回帖看看了。。。。。。。。

qianyin · 发表于 2011-8-25 23:51:06

看看.............

waizl1986 · 发表于 2011-9-2 01:39:20

看看在说啊

deng0808 · 发表于 2011-10-15 03:27:40

还有用吗这帖子

a479849886 · 发表于 2011-10-15 08:12:02

看看哇看看哇看看哇看看哇看看哇

少了什么 · 发表于 2011-10-16 15:20:20

http://www.kanliuxing.com/thread-1155-1-1.html

a15759 · 发表于 2011-10-17 08:12:18

syserdebugger

akenabc123 · 发表于 2011-10-26 15:47:49

看看新手路过支持楼主

		自动登录	找回密码
密码			注册账号