joinpark的专栏

windbg加载符号表，有时候遇到符号表不对应的情况。有时候你是因为重新编译了一下，代码并没有修改。此时由于pdb变化，而之前的调试的pdb没有保留，可能不得不重新替换文件进行重新调试。大可不必。可以使用如下的命令为模块加载一个符号不对应的模块：/iIgnores a mismatch in the .pdb file versions. (If you do not include this parameter, the debugger does not load mismatched sym

在dump中，查找entry.asm的二进制字节_RtlFindActivationContextSectionString的二进制：0:000> s 0012ff40 L2000000 8B 46 20 8A 56 2C00000000`00500cd8 8b 46 20 8a 56 2c 88 10-8b 56 2d 89 50 01 b9 10 .F .V,...V-.P...0:000> u 00500cd8 00000000`00500cd8 8b4620 ...

沙箱进程启动后驱动获取了进程启动信息，通知到svc进程。svc进程执行Inject_low。首先在目标进程中申请一个空间，地址remote_addr，长度lowdata的长度，将LowData放进去。这个数据是一个dll，工程是LowLevel，作为资源放在svc中，在注入前已经释放出来。申请的空间中的数据如图entry.asm。申请数据分成两部分，一部分是.text执行代码，一部分是.zzzz。其中.zzzz包含两个指针，一个是_Start，指向了运行代码的位置，这个很关键，这是程..

首先查看LdrInitializeThunk的指令，查看之前的文章（），看到如下的信息:001>u 0x000000007775c320ntdll!LdrInitializeThunk:00000000`7775c320 e90b47a088 jmp 00000000`00160a30这个是跳转到entry.asm001>u00000000`00160a3000000000`00160a30 4883ec28 sub rsp,28h...

具体配置方式请参考：https://blog.youkuaiyun.com/angelxf/article/details/101520362常见问题：1.host 主机无法连接，提示设备无法正常使用。如下图，会出现usb debug connection device不正常的情况。可以将该设备删除再刷新一下，通常可以好使。卸载后再刷新：2.驱动无法正常安装。不知道为什么，host主机的驱动不是正常签名的，所以无法安装。可以使用 “强制禁止驱动签名”的方法启动host主机，然后.

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片欢迎使用Markdown编辑器你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。新的改变我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：全新的界面设计