使用IDA静态分析osloader.exe+Ntoskrnl.exe
来源:互联网 发布:麻将概率分析软件 编辑:程序博客网 时间:2024/06/02 03:32
1.使用IDA静态分析osloader.exe,找到BlOpen()函数的执行语句,简述查找及分析过程。
用IDA pro 5.6打开osloader.exe
Alt+T,打开文本搜索对话框,在字符串文本框中输入要搜索boot.ini
.成功跳转到BIOpen函数
ARC_STATUSBlOpen ( IN ULONG DeviceId, IN PCHAR OpenPath, IN OPEN_MODE OpenMode, OUT PULONG FileId );
BlOpen的函数声明,其中boot.ini是配置文件参数
2.使用IDA静态分析Ntoskrnl.exe,找到eflags=0的汇编语句,简述查找过程。
同样的,IDA打开Ntoskrnl.exe,静态分析,因为在eflags=0的汇编语句之前调用了_KiInitializeTSS这个函数,所以直接搜索字符串_KiInitializeTSS
但这次出问题了,并没有搜索到_KiInitializeTSS。首先排除源文件的问题。Ntoskrnl.exe文件是我直接从xp虚拟机中拖出来的,肯定不会有问题。剩下的应该就是编译的问题了。突然想到把Ntoskrnl.exe拖到IDA里的时候,IDA识别了Ntoskrnl.exe,询问是否下载符号表,选“是”之后,却下载失败了,让我自己从本机里导入符号表,我直接取消了。之后也打开了文件,当时并没有在意。所以确定是导入表缺失的问题导致编译不完整。
上面用的IDA pro 5.6破解版,很老的版本了。去吾爱破解下了个5.8的破解版,再次将Ntoskrnl.exe拖入IDA,提示下载符号表,下载成功。直接搜索字符串_KiInitializeTSS,这次成功找到了。
上次找到_KiInitializeTSS后就没继续了,今天再次打开,发现符号表提示does not match。。。又找不到了,还好上次截了图,直接跳到了对应的地址005D7FE1
对应了一下PPT里面的分析,下图圈出来的就是eflags=0的汇编语句了,一条mov指令,上一条指令出现了_KiTrap08,说明猜想是正确的
- 使用IDA静态分析osloader.exe+Ntoskrnl.exe
- 对Osloader.exe进行分析 查找e_lfanew,IMAGE_EXPORT_DIRECTORYAddressOfFunctions
- ntoskrnl.exe(01)
- ntoskrnl.exe implementation
- 使用IDA破解TraceMe.exe
- ntldr丢失,ntoskrnl.exe丢失
- 修改ntoskrnl.exe的方法
- WIN2000中断描述符表(NTOSKRNL.EXE)
- ntoskrnl.exe损坏或丢失的解决方案
- 关于在OsLoader.exe中写文件的问题
- win7 win8 系统ntoskrnl.exe丢失引起蓝屏的问题解决以及ntoskrnl.exe下载位置
- 内核文件ntoskrnl.exe, ntkrnlpa.exe, ntkrnlmp.exe, ntkrpamp.exe到底有什么区别
- Simple Hooking of Functions not Exported by Ntoskrnl.exe
- Simple Hooking of Functions not Exported by Ntoskrnl.exe
- Simple Hooking of Functions not Exported by Ntoskrnl.exe
- 获取内核ntoskrnl.exe句柄地址的一段vc代码
- ntoskrnl.exe文件丢失或损坏的问题解决方法
- win2000:ntoskrnl.exe 文件丢失解决一例
- python学习(二)I\O、数据类型和变量
- 解决Linux下无法使用sudo命令问题
- 一个小爬虫学到的
- 20171102-每日一练
- JDBC中的Statement和PreparedStatement的区别
- 使用IDA静态分析osloader.exe+Ntoskrnl.exe
- 关于Java和C#自带日期转换类的异常问题
- 输入本金和年份并算出利息本金和
- PHP双等于缺陷引发的安全问题
- Maven详解
- Java使用465端口发送邮件(绕过25端口限制)
- Unity3D-CDK兑换模拟
- 什么是Java的永久代(PermGen)内存泄漏
- 最新maven视频教程附全套软件文档源码 18课