- 博客(1)
- 收藏
- 关注
RSS订阅原创 硬件ID查询欺骗驱动程序样本逆向分析练习IDA使用
参数 *(_QWORD *)(v6 + 24)确定为搜索开始的地址,再向上一行,V6=V24,v24是一个指针地址,结构体指针,还不能确定是哪个结构体,因为ObReferenceObjectByName调用的参数明显不对,IDA中还出现了UNK字段,F5也不是那么好用啊,先向下看。分析到这里可以确定这个驱动为开源的写法,通过关闭smart,hookirp函数达到hwid欺骗的目的,再查询过程中直接找到了个项目的开源地址,哈哈,不过我是为了熟悉ida操作来分析的,无所谓咯。
2023-09-20 15:32:50
1200
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人