gh99 发表于 2011-8-7 10:07:08

TX DebugPort 清零

如果是直接来要最终结果的,请绕行,这里只对debugport 清零代码进行逆向。

由于TX会Anti Windbg,用上次的方法后,Windbg能很好的跑起来,但是作者还是热衷于单机调试,在一次偶然的情况下,发现TX没有对SyserDebugger进行anti,这里膜拜下syserdebugger的作者,该调试器据说是作者一人开发,而该作者对内核的熟悉程度,让人有点想流口水。

不管是windbg还是syserdbg, 你都可以下 对EPROCESS+0xbc的写入断点。


windbg ba w addr

syser   bpm addr w

这里我们看到syser是兼容了softice指令的。下断后很快就会被断下,可见debugport被清零之频繁。

syser debugger 的菜单有时候会不灵,暂时只能用命令了。 u eip-40.

我们可以清晰的看到tessafe.sys如何对DebugPort清零的
**** Hidden Message *****

紫色水精灵 发表于 2011-8-7 11:20:09

看看在学驱动

小噹 发表于 2011-8-10 14:19:43

回帖看看了。。。。。。。。

qianyin 发表于 2011-8-25 23:51:06

看看.............

waizl1986 发表于 2011-9-2 01:39:20

看看在说啊

deng0808 发表于 2011-10-15 03:27:40

还有用吗这帖子

a479849886 发表于 2011-10-15 08:12:02

看看哇看看哇看看哇看看哇看看哇

少了什么 发表于 2011-10-16 15:20:20

http://www.kanliuxing.com/thread-1155-1-1.html

a15759 发表于 2011-10-17 08:12:18

syserdebugger

akenabc123 发表于 2011-10-26 15:47:49

看看 新手路过 支持楼主
页: [1] 2 3
查看完整版本: TX DebugPort 清零