用的是老版本XDva220,因為之前在老版本做的靜態分析,有些信息懶的在新版本上去改動了,
現在的版本XDva280看了看,好像變化不大,估計只是針對後面系統的更新或者
多了些新的ControlCode.
逆向的部分盡量保證接近原始彙編代碼,還有5個IoControlCode沒有逆向,
IoControlCode_85000880
IoControlCode_850008C0
IoControlCode_85000894
IoControlCode_85000840
IoControlCode_850008C4
感興趣的話,大家可以接著逆.
其他部分都逆向完了,數據部分還原了大部分,有的不知道什麼意思的就用dummy代替
另外有2個DeviceExtension不知道是什麼結構,這個只有自己定義了2個,
XTRAP_DEVICE_EXTENSION2跟XTRAP_DEVICE_EXTENSION3(為了保證與原始彙編一致),
有逆向得不對的地方或者發現其他結構不對的,歡迎大家指出,一起修正.
另外IDB文件中間有些部分比如它所加密的字符串已用腳本解開,因為結構挺大,
所以寫了個腳本處理結構的變量名字打印保存到文本.附件中包含py腳本.
我所用的DDK是2600.1106這個版本,它的_DEVOBJ_EXTENSION定義沒有AttachedTo,
所以這個需要手動加上,不然不能夠編譯通過.
歡迎轉載,請保持文章完整性.
Revers by dengkeng, Email:poppig@sohu.com
附件說明:
Decode.py是對應的腳本文件,IDA5.5 + IDAPython 1.2
原始驅動:目錄包含對應IDB文件以及驅動.
下載地址:http://filemarkets.com/file/newbing/73a34be8/
没有评论:
发表评论