-
某个病毒利用了这种anti-softice技术:1.hook idt1_handler,即在idt1_handler里面加入jmp hook_handler的指令2.把idt1_handler的地址放在dr0里,并置dr7相应的位3.访问idt1_handler,产生对idt...全文
◆
◆
-
tttt__tttt:@xikug,静态分析肯定可以,但是我还想patch softice,不明白为什么只有顶层的softice handler不能被hook,所有下层被hook的handler能继续被hook,难道是softice的bug? @wowocock,你说的是bypass EPA的方法么...(2007-02-22 23:02)
-
wowocock:参考我以前的绕过DR0保护直接通过物理地址访问内存的方法,来绕过DRX寄存器的保护,嘿嘿.....(2007-02-20 20:13)
-
xikug:不是patch softice。。。 patch目标程序不行? 把handler记下来,手动解码。。。(2007-02-20 13:02)
-
tttt__tttt:这里我不太明白:如果没有加载softice这里可以正常执行,说明windows自己的handler里没有对中断产生地址再一次访问的指令,相反softice hook的handler却有这样的指令因此引起中断嵌套引起BS <- 这点呢,这里我不太明白 直接patch不行,因...(2007-02-20 11:06)
-
xikug:仅此而已?是否还有seh等陷阱?drx是否会参与解码之类的运算?如果就这么简单的话试试直接patch(2007-02-19 20:25)
