MARK的RootkitRevealer崩溃 - 高端调试

欢迎光临高端调试登录 | 注册 | FAQ

搜索论坛

	内核调试

	ACPI调试 Linux内核调试 Windows内核调试
	调试方法学

	调试战役调试原理新工具观察
	操作系统

	Linux Windows Vista Windows
	驱动开发

	Linux驱动 WDF WDM
	总线

	PCI Express PCI/PCI-X USB 无线通信协议
	中央处理器

	64位CPU ARM IA-32
	CPU Info Center
	计算机机系统

	ACPI标准系统认证 Desktop 服务器
	嵌入式系统

	Embedded Linux 嵌入式开发工具 VxWorks WinCE 嵌入式Windows
	特别链接

	格蠹调试套件(GDK)
	格蠹学院
	小朱书店
	老雷的微博
	《软件调试》
	《格蠹汇编》
	《软件调试(第二版)》


沪ICP备11027180号-1

BUG也精彩

帖子发起人: ntos 发起时间: 2017-09-02 16:19 下午 回复: 0

搜索论坛

帖子排序:

2017-09-02, 16:19 下午

ntos 离线，最后访问时间: 2017/6/27 13:13:28 ntos

发帖数前500位
注册: 2017-06-27
发贴: 3

MARK的RootkitRevealer崩溃

偶然的机会试了一下大神的rootkit扫描工具，启动时竟然直接崩溃，break进了windbg：

(36cc.328): Access violation - code c0000005 (!!! second chance !!!)
*** ERROR: Module load completed but symbols could not be loaded for C:\Users\ge\Downloads\RootkitRevealer.exe
eax=ffffffff ebx=004aa634 ecx=c0100000 edx=0019f1fc esi=00000000 edi=02fc0048
eip=004040cd esp=0019f1ec ebp=0019f1f0 iopl=0 nv up ei ng nz na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010286
RootkitRevealer+0x40cd:
004040cd cd2e int 2Eh

仔细一看，原来是使用int 2e强调内核服务：

0:000> ub
RootkitRevealer+0x40bd:
004040bd 90 nop
004040be 90 nop
004040bf 90 nop
004040c0 55 push ebp
004040c1 8bec mov ebp,esp
004040c3 51 push ecx
004040c4 8b4508 mov eax,dword ptr [ebp+8]
004040c7 8d950c000000 lea edx,[ebp+0Ch]
0:000> u
RootkitRevealer+0x40cd:
004040cd cd2e int 2Eh
004040cf 8945fc mov dword ptr [ebp-4],eax
004040d2 8b45fc mov eax,dword ptr [ebp-4]
004040d5 8be5 mov esp,ebp
004040d7 5d pop ebp
004040d8 c3 ret
004040d9 90 nop
004040da 90 nop

最主要是上述代码是32位的，而内核是64位的

检查了一下版本，这个工具十年没有更新了，似乎没有64位的
RootkitRevealer v1.71
2006-11-1 10 分钟阅读时长作者

By Mark Russinovich
Published: November 1, 2006
Download RootkitRevealer (231 KB)
Run now from Sysinternals Live.

IP 地址: 已记录报告

高端调试 » 没有银弹 » BUG也精彩 » MARK的RootkitRevealer崩溃