Rinrin 的个人资料永远的羁绊照片日志列表更多  |  工具 帮助 |
|
7月15日 启用Windows Boot DebuggerWinDDK中附带了一个ntldr_dbg,可以在Boot时启用调试器。我一直很好奇,普通的ntldr中也有Boot Debugger字样,为啥就不行。
休息天逆向了一下ntldr相关部分,发现了一点小秘密。其实普通的ntldr是支持Boot Debugger的,需要在boot.ini里设置一下。例如:
[debug]
/debug debugport com1 baudrate=19200 debugstop 我使用2003 sp2版本的ntldr测试成功
过程就不说了,只说有意思的部分。ntldr中有些字符串支持函数,解析boot.ini需要调用它们,我没有看这些函数,不太清楚它们会不会有问题。。。如果有,那可能搞出一个新的bootkit出来,或者是一个本地权限提升
但是,普通版本的ntldr有些支持函数丢失了,是一个nullstub,我看了一下ntldr_dbg,其中是有内容的。这就导致了普通版本的ntldr不能加载符号文件。。。期待牛人写一个补丁吧,呵呵。 引用通告此日志的引用通告 URL 是: http://rinrin9.spaces.live.com/blog/cns!21F4129E393B54B9!139.trak 引用此项的网络日志
|
|
|
