Advanced Debugging
About AdvDbg Consult Train Services Products Tools Community Contact  
欢迎光临 高端调试 登录 | 注册 | FAQ
 
  ACPI调试
Linux内核调试
Windows内核调试
 
  调试战役
调试原理
新工具观察
 
  Linux
Windows Vista
Windows
 
  Linux驱动
WDF
WDM
 
  PCI Express
PCI/PCI-X
USB
无线通信协议
 
  64位CPU
ARM
IA-32
  CPU Info Center
 
  ACPI标准
系统认证
Desktop
服务器
 
  Embedded Linux
嵌入式开发工具
VxWorks
WinCE
嵌入式Windows
 
  易内核
  小朱书店
  老雷的微博
  《软件调试》
  《格蠹汇编》
沪ICP备11027180号

BUG也精彩

帖子发起人: ntos   发起时间: 2017-09-02 16:19 下午   回复: 0

Print Search
帖子排序:    
   2017-09-02, 16:19 下午
ntos 离线,最后访问时间: 2017-6-27 13:13:28 ntos

发帖数前500位
注册: 2017-06-27
发 贴: 3
MARK的RootkitRevealer崩溃
Reply Quote
偶然的机会试了一下大神的rootkit扫描工具,启动时竟然直接崩溃,break进了windbg:

(36cc.328): Access violation - code c0000005 (!!! second chance !!!)
*** ERROR: Module load completed but symbols could not be loaded for C:\Users\ge\Downloads\RootkitRevealer.exe
eax=ffffffff ebx=004aa634 ecx=c0100000 edx=0019f1fc esi=00000000 edi=02fc0048
eip=004040cd esp=0019f1ec ebp=0019f1f0 iopl=0         nv up ei ng nz na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010286
RootkitRevealer+0x40cd:
004040cd cd2e            int     2Eh

仔细一看,原来是使用int 2e强调内核服务:

0:000> ub
RootkitRevealer+0x40bd:
004040bd 90              nop
004040be 90              nop
004040bf 90              nop
004040c0 55              push    ebp
004040c1 8bec            mov     ebp,esp
004040c3 51              push    ecx
004040c4 8b4508          mov     eax,dword ptr [ebp+8]
004040c7 8d950c000000    lea     edx,[ebp+0Ch]
0:000> u
RootkitRevealer+0x40cd:
004040cd cd2e            int     2Eh
004040cf 8945fc          mov     dword ptr [ebp-4],eax
004040d2 8b45fc          mov     eax,dword ptr [ebp-4]
004040d5 8be5            mov     esp,ebp
004040d7 5d              pop     ebp
004040d8 c3              ret
004040d9 90              nop
004040da 90              nop

最主要是上述代码是32位的,而内核是64位的

检查了一下版本,这个工具十年没有更新了,似乎没有64位的

RootkitRevealer v1.71

By Mark Russinovich

Published: November 1, 2006

Download Download RootkitRevealer (231 KB)
Run now from Sysinternals Live.



IP 地址: 已记录   报告
高端调试 » 没有银弹 » BUG也精彩 » MARK的RootkitRevealer崩溃

 
Legal Notice Privacy Statement Corporate Governance Corporate Governance
(C)2004-2017 ADVDBG.ORG All Rights Reserved.