弱问，查找xp sp3 未导出函数，Help Me

userchm · 发表于 2013-4-18 09:05:03

WinDbg查找 PspTerminateProcess 的硬件编码

code1_sp2=0x8b55ff8b;code2_sp2=0xa16456ec;code3_sp2=0x00000124;code4_sp2=0x3b08758b;

以上是sp2的，但我系统是xp sp3 如何查找sp3的PspTerminateProcess 的硬件编码

请牛们赐教！

lizhen · 发表于 2013-4-18 09:05:24

lkd> u nt!PspTerminateProcess
nt!PspTerminateProcess:
805d3b5c 8bff          mov    edi,edi
805d3b5e 55             push ebp
805d3b5f 8bec          mov    ebp,esp
805d3b61 56             push esi
805d3b62 64a124010000 mov    eax,dword ptr fs:[00000124h]
805d3b68 8b7508       mov    esi,dword ptr [ebp+8]
805d3b6b 3b7044       cmp    esi,dword ptr [eax+44h]

CARRIE · 发表于 2013-4-18 09:05:33

符号文件没加载。

cywsh · 发表于 2013-4-18 09:05:40

可以根据WINDBG找到的硬编码暴力搜索内存

sghfxp · 发表于 2013-4-18 09:05:48

lkd> dd PspTerminateProcess

805d3b5c 8b55ff8b a16456ec 00000124 3b08758b //可以用这些特征码

13483909318 · 发表于 2013-4-24 09:21:33

看帖就回加成长!!

		自动登录	找回密码
密码			注册账号