我喜欢在 Windows 10 专业版上通过 GPO 禁用 Windows Defender 实时保护。当我配置 GPO 时,实时保护显示为关闭。然而,重新启动后,保护再次神奇地启用。
GPO 设置没有改变。我正在尝试禁用实时保护,以便能够分析和逆向工程恶意软件。
此外,即使 Windows 告诉我实时保护由管理员管理,它仍然在后台启用。
我真的想知道是否有办法完全禁用 Windows Defender + 实时保护,或者微软是否使这成为不可能。
有没有办法在Windows上的中断服务程序上设置一个断点,它负责触发线程调度并打印被中断的线程的EIP?
我试着用hal!HalpClockInterrupt但它似乎不是正确的地方.nt!KeUpdateRunTime接缝更好:
Breakpoint 3 hit
nt!KeUpdateRunTime:
805410dc a11cf0dfff mov eax,dword ptr ds:[FFDFF01Ch]
kd> !thread
THREAD 82c23bf0 Cid 0320.0474 Teb: 7ffa2000 Win32Thread: 00000000 RUNNING on processor 0
Impersonation token: e1c1f990 (Level Impersonation)
Owning Process 0 Image: <Unknown>
Attached Process 82c2dca0 Image: svchost.exe
Wait Start TickCount 6298 Ticks: 14 (0:00:00:00.218)
Context Switch Count 64 IdealProcessor: 0
UserTime 00:00:00.453
KernelTime 00:00:04.312
Win32 Start Address 0x7730a5f7
Start Address 0x7c8106f9
Stack Init f4dc1000 Current f4dc0d34 Base f4dc1000 Limit f4dbe000 Call 0
Priority 8 BasePriority 8 …我正在向/ system/framework中的services.jar注入一些类.不幸的是,我总是重启设备,以便在我的应用程序中查看对services.jar的修改.有没有办法强制dalvikvm重新加载所有框架罐?
我使用WinDBG获取句柄信息:
kd> !handle 430
PROCESS 85c91030 SessionId: 0 Cid: 0388 Peb: 7ffdc000 ParentCid: 01e8
DirBase: 7ee841c0 ObjectTable: 8da023f0 HandleCount: 539.
Image: svchost.exe
Handle table at 9a3da000 with 539 entries in use
0430: Object: 8480e038 GrantedAccess: 00100080 Entry: 8da01860
Object: 8480e038 Type: (844f9ac8) File
ObjectHeader: 8480e020 (new version)
HandleCount: 1 PointerCount: 2
Directory Object: 00000000 Name: \ {HarddiskVolume2}
我知道大多数数据来自_FILE_OBJECT,但是我无法确定如何确定{HarddiskVolume2}。WinDBG如何获得此信息?