注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

调试“设置密码”到底层函数为止  

2014-05-04 15:32:02|  分类: 方法技巧 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

以前的一篇文章里面说到设置密码的函数为Netapi32!NetUserSetInfo

今天调试一下这个函数是如何到底层的,就是从这个函数开始,它里面有许多调用,

用pct命令,每次确定一层调用,直到最底层。。。

ntdll!KiFastSystemCall:
7c92e510 8bd4            mov     edx,esp
7c92e512 0f34            sysenter
ntdll!KiFastSystemCallRet:
7c92e514 c3              ret

层数是非常的多,幸好用批处理命令运行来确认。【runas /user:xpsp3\guest cmd】

最终堆栈如下:

0:000> kn
 # ChildEBP RetAddr
00 0007d3c4 7c92d3aa ntdll!KiFastSystemCall
01 0007d3c8 7c831d0f ntdll!NtFsControlFile+0xc
02 0007d428 77e61068 kernel32!TransactNamedPipe+0x4e
03 0007d458 77e606da RPCRT4!NMP_SyncSendRecv+0x54
04 0007d478 77e60cd1 RPCRT4!OSF_CCONNECTION::TransSendReceive+0x9e
05 0007d4f4 77e60c51 RPCRT4!OSF_CCONNECTION::SendFragment+0x226
06 0007d54c 77e60ab3 RPCRT4!OSF_CCALL::SendNextFragment+0x1d2
07 0007d594 77e60a00 RPCRT4!OSF_CCALL::FastSendReceive+0x144
08 0007d5b0 77e60f4f RPCRT4!OSF_CCALL::SendReceiveHelper+0x58
09 0007d5dc 77e5a80e RPCRT4!OSF_CCALL::SendReceive+0x41
0a 0007d5e8 77e5a83f RPCRT4!I_RpcSendReceive+0x24
0b 0007d5fc 77ed5675 RPCRT4!NdrSendReceive+0x2b
0c 0007d9e0 71b78a44 RPCRT4!NdrClientCall2+0x222
0d 0007d9f4 71b7aef9 SAMLIB!SamrSetInformationUser2+0x1b
0e 0007e064 5fe07b67 SAMLIB!SamSetInformationUser+0x477
0f 0007e1e8 5fe04f68 NETAPI32!UserpSetInfo+0x5d1
10 0007e238 7429225b NETAPI32!NetUserSetInfo+0xa0
11 0007e518 728b2840 adsnt!CWinNTUser::SetPassword+0xeb
12 0007e53c 728b2a59 localsec!setPassword+0x44
13 0007e5c4 728bcd6c localsec!SetPasswordDialog::OnCommand+0x7b

就是上面红色所列的地方都是一层一层确认出来的。

这个调试方法我想是逆向某些关键的最后办法了。

另外说明一下,wt这个命令每次输出很多,难以确认到底是哪个函数。除非函数名称很明显!

因为结果已经知道了,那以后其他API是否可以先下一个API断点,中断后,

再下ntdll!KiFastSystemCall断点。这样估计更快了。

 

  评论这张
 
阅读(138)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017