已过了t P的一处效验
两处DebugPort清零的代码都可以nop了
还有一处发现代码都被VM了
有啥法子?
下 ba w 4[_EPROCESS+0xbc]断点
两处DebugPort清零的代码都可以nop了
还有一处发现代码都被VM了
有啥法子?
下 ba w 4[_EPROCESS+0xbc]断点
代码:
eda4f0e0 ff ???
eda4f0e1 ff ???
eda4f0e2 ff3424 push dword ptr [esp]
eda4f0e5 8b0424 mov eax,dword ptr [esp]
eda4f0e8 83c404 add esp,4
eda4f0eb e9ea030000 jmp TesSafe+0xbb4da (eda4f4da)
eda4f0f0 8f02 pop dword ptr [edx]
eda4f0f2 e9c5f1ffff jmp TesSafe+0xba2bc (eda4e2bc)//断到这里。。VM代码吧跟下去都是无限的跳啊跳
eda4f0f7 58 pop eax
eda4f0f8 56 push esi
eda4f0f9 54 push esp
eda4f0fa e9140e0000 jmp TesSafe+0xbbf13 (eda4ff13)
eda4f0ff 6874000000 push 74h
eda4f104 59 pop ecx
eda4f105 e9c22b0000 jmp TesSafe+0xbdccc (eda51ccc)
eda4f10a 55 push ebp