象 cih 病毒那样修改 idt ,再自己执行一个 int3 ,这样在 trw2000 下不会执行新的中断代码, 而是转入 vmm 的

楼主^#

更多发布于：2002-02-21 07:36

   哪位大侠仔细研究过 trw2000 ver1.23 注册版? 知道它的内部工作原理吗? 我只是粗略地知道它的 trw2000.sys 文件是用的 nt 的 miniport 驱动格式.大概和它的插件编程相似,用的是 c 语言.

   它是动态装载. 替换了 windows 98 系统的 int1 , int3 ,等等好多中断. 它还替换了 vmm.vxd 中好多与调试相关的 vxd 服务函数. 比如 Test_Debug_Installed ,它新建的这个函数总是传回自己已经加载了,这也是一种监测它是否加载的方法.这点 softice 也是一样的.
它回写文件是用的系统服务 IFSMgr_Ring0_FileIO . 和 softice 一样,还调用系统服务 VKD_Define_Hot_Key , 定义了两个快捷键.

   还有象 cih 病毒那样修改 idt ,再自己执行一个 int3 ,这样在 trw2000 下不会执行新的中断代码, 而是转入 vmm 的 intD 入口(产生一般保护错误?).而 softice 下确可以执行新的中断代码.各位自己试试就知道了. 这是为什么呢?

   哪位大侠知道更多,可以指教一二.我是初学者,很菜.以上如果有错误,一定给我指出啊!

喜欢0

chimian 驱动牛犊注册日期2002-02-10 最后登录2002-04-07 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2002-02-21 17:12 相关软件参考下载地址(在其附件中): http://www.miecn.com/cgi-bin/topic.cgi?forum=2&topic=240&show=0
	回复(0) 喜欢(0)

chimian 驱动牛犊注册日期2002-02-10 最后登录2002-04-07 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2002-03-13 04:29 没有人回答吗? 下载附件中的程序玩玩吧. 里面有 trw2000 ver1.23 注册版(与 softice 一样好的调试器), 还有切入 windows 98 零特权级的两个实例程序. 里面有该问题的详细说明.
	回复(0) 喜欢(0)

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2002-03-16 11:47

老兄，还是用SoftIce吧，98，2000，XP下都能用，比那个好多了

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

chimian 驱动牛犊注册日期2002-02-10 最后登录2002-04-07 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2002-03-18 12:32 就使用上, 总起来说, 它确实不如 softice . 不过我的目的不是使用. 而是研究这两个软件的核心代码. 所以要刨根问底.
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

象 cih 病毒那样修改 idt ,再自己执行一个 int3 ,这样在 trw2000 下不会执行新的中断代码, 而是转入 vmm 的

最新喜欢：