看流星社区

 找回密码
 注册账号
查看: 4500|回复: 9

干掉XTRAP重启代码,不让其发现DEBUG行为后重启。

[复制链接]

该用户从未签到

发表于 2011-8-4 19:08:34 | 显示全部楼层 |阅读模式
a61e07f7 81f98c000085    cmp     ecx,8500008Ch  
a61e07fd 0f840c010000    je      a61e090f      //IoCode = 8500008C 跳转到重启代码  

{  
a61e090f fa              cli  
a61e0910 68fe000000      push    0FEh  
a61e0915 6a64            push    64h  
a61e0917 ff1508a51ea6    call    dword ptr ds:[0A61EA508h] //WRITE_PORT_UCHAR  
a61e091d f4              hlt  
a61e091e e9ea010000      jmp     a61e0b0d  
}  

似乎cli sti才是对应的,韩国棒子的水平真囧  

调用 WRITE_PORT_UCHAR 重启的  

NOP掉这段代码,被发现后就不会重启了,方便调试XTARP驱动  

游客,如果您要查看本帖隐藏内容请回复
  • TA的每日心情
    萌哒
    2022-10-27 09:07
  • 发表于 2011-11-28 11:56:36 | 显示全部楼层
    学习技术来的

    该用户从未签到

    发表于 2011-12-3 01:24:47 | 显示全部楼层
    谢谢分享谢谢分享

    该用户从未签到

    发表于 2011-12-5 08:42:50 | 显示全部楼层
    决DNF附加进程不会重

    该用户从未签到

    发表于 2011-12-13 21:45:21 | 显示全部楼层
    学习一下·······

    该用户从未签到

    发表于 2013-4-3 21:46:51 | 显示全部楼层
    本帖隐藏的内容需要回复才可以浏览

    该用户从未签到

    发表于 2013-4-29 21:27:13 | 显示全部楼层
    我来瞧瞧额!

    该用户从未签到

    发表于 2013-5-23 10:21:04 | 显示全部楼层
    00000000000000000

    该用户从未签到

    发表于 2013-12-24 15:28:48 | 显示全部楼层
    哈哈哈哈感谢楼主分享

    该用户从未签到

    发表于 2016-5-10 22:17:29 | 显示全部楼层
    本帖隐藏的内容需要回复才可以浏览
    点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
    您需要登录后才可以回帖 登录 | 注册账号

    本版积分规则

    小黑屋|手机版|Archiver|看流星社区 |网站地图

    GMT+8, 2024-3-29 02:35

    Powered by Kanliuxing X3.4

    © 2010-2019 kanliuxing.com

    快速回复 返回顶部 返回列表