カスタム エディションの自己入力パスワードである TryeCrypt によって暗号化されたハード ドライブがあり、MBR デバッグを介してこの 40 バイトのパスワードを見つけましたが、標準バージョン 7.1a を使用してマウントできません。
私が欲しいのは、このハードドライブからいくつかのファイルを取得することです。良いニュースは、このハードドライブは起動可能で、Windows XP SP2 ですが、フルスクリーンアプリは自動起動し、入力 (キーボード、マウスなど) はブロックされていたためです。 、それに触れる唯一の方法は、vmware gdb stub を使用してデバッグすることです。
ida のリモート dbg デバッガーは非常にうまく機能しています。ゲストのメモリにアクセスし、コードを編集し、ブレークポイントを設定すると、シンボルが読み込まれました。
問題は、カーネルにパッチを適用してプロセスを開始するにはどうすればよいですか?
私が考えているのは、winddk プロジェクトをビルドし、ユーザー APC でこれを行うドライバーを実装し、逆アセンブルしてアセンブラー コードを取得し、ida を介してゲストにパッチを適用することです。
何か案が?ありがとう。