我有一个硬盘被TryeCrypt加密,自定义编辑,自输入密码,我通过MBR调试找到了这个40字节的密码,但是无法使用标准版本7.1a安装它。
我想要的是从这个硬盘驱动器获取一些文件,好消息是,这个硬盘驱动器是可启动的,它是一个windows xp sp2,但全屏应用程序是自动启动和任何输入(键盘,鼠标等)是因此,阻止,唯一的方法是使用vmware gdb存根调试它。
ida的远程dbg调试器工作得非常好,现在我触摸来宾的内存,编辑它的代码,设置断点并加载符号。
所以问题是,如何通过修补内核来启动进程?
我的想法是,构建一个winddk项目,用用户APC实现一个驱动程序来执行此操作,然后将其反汇编以获取它的汇编代码,然后通过ida将其修补到guest虚拟机中。
有什么想法吗?感谢。