百度首页 | 百度空间
 
查看文章
  
[data]标记 -- 搜索未导出的函数地址 -- Fuck
2008年03月15日 星期六 23:17

难得高人指点,于是激动的纪录之,供以后自勉

5555~ 太菜了,go on study even harder


类别:Data | 浏览() | 评论 (9)
 
最近读者:
 
网友评论:
1
2008年03月16日 星期日 01:05
还以为是 KillVxk 指点呢,呵呵。

不过你的想法确实够强的,暴搜整个文件外加搜索函数头部。
一般确实是通过已知找未知呀。
 
2
2008年03月16日 星期日 08:37
是啊,先尝试下不同方法的效果,然后选择最优的方法~~

嘿嘿
 
3
2008年03月16日 星期日 09:30
崇拜楼主 好强哦
 
4
2008年03月16日 星期日 19:31
未导出的函数能自己实现就自己实现,或者从导出的函数搜.
直接搜函数头可能会被每个不同版本的补丁修改,所以兼容性非常差,临时解决方案还行.当初微软在函数头留下push堆和mov堆也有为patch考虑的.
 
5
2008年03月16日 星期日 19:38
我X,强烈鄙视MJ,用个红色的字体...
 
6
2008年03月16日 星期日 19:56
to gz1X:

从导出的函数搜也不是很稳定,有的安全软件恰好在关键的地方做了inline hook。另人郁闷至级。 比如:

前言: 微点怎么连 PsTerminateSystemThread 也inline hook,真无耻~

nt!PsTerminateSystemThread:
808aa35f 8bff mov edi,edi
808aa361 55 push ebp
808aa362 8bec mov ebp,esp
808aa364 64a124010000 mov eax,dword ptr fs:[00000124h]
808aa36a f6804802000010 test byte ptr [eax+248h],10h
808aa371 0f84ea300800 je nt!PsTerminateSystemThread+0x14 (8092d461)
808aa377 ff7508 push dword ptr [ebp+8]
808aa37a 50 push eax
808aa37b e8a2e9cf77 call f85a8d22 ; 被inline hook了
;
; 本来是call nt!PspTerminateThreadByPointer (XXXXX),显然跳到了微点的处理
; 函数中, 若从这里找未导出的 PspTerminateThreadByPointer就不爽了, 所以要换
; 从其他的导出函数中搜索(前提是若你想调用PspTerminateThreadByPointer函数)
; -- sudami 08/03/16
;
808aa380 5d
 
7
2008年03月16日 星期日 23:13
是呀,就是因为很容易被干扰.所以我都很排斥未导出函数的使用,自己有能力实现也就罢了,尤其是暴力搜索,几乎是应急方案.未导出,微软的一部分意思是:不稳定的随时可能被更改的.这样通用性就非常差了.
不过要是只是挖掘下或者流氓下,那大可以什么办法都试.嘿嘿.
 
8
2008年03月17日 星期一 23:33
加载一份内核暴力搜索应该可以把

难道你的加载代码不优美?
 
9
2008年03月19日 星期三 12:43
猪哇牛说的没错~~~

问题早解决了。是特征码没找准,因为内核补丁的差异~~

=。=!
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码:
 

     

©2008 Baidu