Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Есть такой глюк в Soft Ice 19.06.02 10:42 Число просмотров: 1498
Автор: :-) <:-)> Статус: Elderman
|
Подобное у меня случалось в Win9x, когда трейсишь обработчик прерывания в V86 и доходишь до команды iret. А сразу после iret иногда пападаешь на команду ARPL. В принципе это стандартный для win9x способ перехода из ring3 в ring0 (по ARPL генерится исключение и оно ловится в ring 0). Но если на этом ARPL нажать F8/F10, то произойдет в точности то же самое, что у Zef'а: винда "выскальзывает" из под Софт-Айса, причем похоже что Софт-Айс этого даже не понимат (его картинка остается на экране, а потом сообщения из его command window выползают поверх Десктопа, пока не нажмешь Ctrl+D)
Вот как этот глюк воспроизвести (Win98SE, Soft Ice 4.01).
следующий код в io.sys (это конец обработчика int 2Fh, imho):
4636: 7503 jne 00000463B
4638: 83C9FF or cx,-001
463B: 1F pop ds ;<========= сюда ставим BPX
463C: CF iret
---
bpx я ставлю так:
:s 0 l ffffffff 75 03 83 c9
Pattern found at 0028:00102426 (00102426)
:bpx 0028:0010242B
Ждем пока сработает bpx, трейсим до ARPL и офигеваем :-)
|
- Ну, ваще! - Zef 04.06.02 10:33 [2045]
- Есть такой глюк в Soft Ice - :-) 19.06.02 10:42 [1498]
- Ну, ваще! - Dr.Golova 05.06.02 23:39 [1581]
|
|
|
подробно о проекте
Анализ криптографических сетевых...
