我有一个硬盘驱动器被 TryeCrypt 加密,一个自定义版本,自我输入密码,我通过 MBR 调试找到了这个 40 字节的密码,但无法使用标准版本 7.1a 安装它。
我想要的是从这个硬盘驱动器中获取一些文件,好消息是,这个硬盘驱动器是可启动的,它是一个 windows xp sp2,但是一个全屏应用程序是自动启动的,并且任何输入(键盘、鼠标等)都被阻止了,因此,触摸它的唯一方法是使用 vmware gdb stub 对其进行调试。
ida 的远程 dbg 调试器运行良好,现在我触摸客户的内存,编辑它的代码,设置断点并加载符号。
所以问题是,我怎样才能通过修补内核来启动一个进程?
我的想法是,构建一个winddk项目,用用户APC实现一个驱动程序,然后将其反汇编以获得它的汇编代码,然后通过ida将其修补到guest中。
任何想法?谢谢。