一字节anti创建进程线程等回调
2015-09-14 18:50
399 查看
很久没有发帖子了~~~ 上次一个哥们 一字节anti callbacks 其实还有更多地方哦~
~~
但是这样 还是不够的
这次 一字节 anti 创建进程线程回调~~~
pspexitthread:
loc_140355BB8:
xor r8d, r8d
xor edx, edx
mov rcx, rdi
call EtwTraceThread
mov [rsp+0F8h+arg_8], sil
mov byte ptr [rsp+0F8h+arg_10], sil
mov [rsp+0F8h+Object], rsi
mov [rdi+378h], ebx
or rax, 0FFFFFFFFFFFFFFFFh
add [rdi+1C4h], ax
mov eax, cs
spNotifyEnableMask
mov r13d, 8
test r13b, al
jnz loc_14033B3EB
pspexitprocess
dec word ptr [rdi+1C4h]
mov ebp, cs
spNotifyEnableMask
mov eax, cs
spNotifyEnableMask
shr bpl, 2
and bpl, r14b
test al, 2
jz loc_1403BD6B6
先看一下 上面的反汇编代码
windbg 动态调试 的值 为
kd> dq PspNotifyEnableMask
fffff800`03e824e0 00000000`00000007 00000000`00000000
fffff800`03e824f0 00000000`00000000 00000000`00000000
fffff800`03e82500 fffff8a0`0008ef5f 00000000`00000000
fffff800`03e82510 00000000`00000000 00000000`00000000
fffff800`03e82520 00000000`00000000 00000000`00000000
fffff800`03e82530 00000000`00000000 00000000`00000000
fffff800`03e82540 00000000`00000001 00000000`00000000
fffff800`03e82550 00000000`00000000 00000000`00000000
so :*(ULONG32*)PspNotifyEnableMask=NULL;
~~
但是这样 还是不够的
这次 一字节 anti 创建进程线程回调~~~
pspexitthread:
loc_140355BB8:
xor r8d, r8d
xor edx, edx
mov rcx, rdi
call EtwTraceThread
mov [rsp+0F8h+arg_8], sil
mov byte ptr [rsp+0F8h+arg_10], sil
mov [rsp+0F8h+Object], rsi
mov [rdi+378h], ebx
or rax, 0FFFFFFFFFFFFFFFFh
add [rdi+1C4h], ax
mov eax, cs
spNotifyEnableMask
mov r13d, 8
test r13b, al
jnz loc_14033B3EB
pspexitprocess
dec word ptr [rdi+1C4h]
mov ebp, cs
spNotifyEnableMask
mov eax, cs
spNotifyEnableMask
shr bpl, 2
and bpl, r14b
test al, 2
jz loc_1403BD6B6
先看一下 上面的反汇编代码
windbg 动态调试 的值 为
kd> dq PspNotifyEnableMask
fffff800`03e824e0 00000000`00000007 00000000`00000000
fffff800`03e824f0 00000000`00000000 00000000`00000000
fffff800`03e82500 fffff8a0`0008ef5f 00000000`00000000
fffff800`03e82510 00000000`00000000 00000000`00000000
fffff800`03e82520 00000000`00000000 00000000`00000000
fffff800`03e82530 00000000`00000000 00000000`00000000
fffff800`03e82540 00000000`00000001 00000000`00000000
fffff800`03e82550 00000000`00000000 00000000`00000000
so :*(ULONG32*)PspNotifyEnableMask=NULL;
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Matlab基础
- Java中的常用类
- 进程间通信
- C++ Primer学习总结_1_开始
- APP推广入门之AppStore数据分析
- 让程序不在任务栏小按钮显示
- uva 11300 Spreading the Wealth 中位数应用
- hdu3729二分图匹配
- 背包的标准代码与注释
- 涂鸦板实现思路和步骤
- uva 11300 Spreading the Wealth 中位数应用
- Java中文件的相对路径与绝对路径
- MR中使用sequnceFIle输入文件
- html表格排序之完全详解
- 动态改变代码布局
- 华为荣耀6不显示日志解决方案
- 一维搜索之黄金分割法(C#实现)
- 黑马程序员——配置,操作文件
- navicat的windows/linux/mac等在中文线帮助文档地址
- 手势解锁的实现思路