Closed MkfsSion closed 2 months ago
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,6c,00,61,00,73,00,76,00,63,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
这里还是改了 nlasvc 的入口,导致没有注入到 netprofm 服务。我这边测试 24H2 用 x64dbg 给 SetCapability 加断点是可以正常抓到的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,6c,00,61,00,73,00,76,00,63,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
这里还是改了 nlasvc 的入口,导致没有注入到 netprofm 服务。我这边测试 24H2 用 x64dbg 给 SetCapability 加断点是可以正常抓到的
非常感谢,问题解决了
修改:https://github.com/MkfsSion/NCSIOverride/commit/394b7551b03fc1adac3de955496a3e74ea35023b 日志
经过windbg uu命令验证,这个地址确实是
ncsi!NCSI_INTERFACE_ATTRIBUTES::SetCapability
的地址,但是hook就是不触发(MySetCapability没有被调用),尝试过断网改变NCSI cap也没有用(NCSI照常工作,变成小地球) windbg调试记录 某次调试在NCSIOverrideAttach断点拿到的(因为调试麻烦所以是之前的调试的)hook后的,本次调试的
install.reg
地址偏移:
netprofmsvc.dll导出表
请问您有没有debug的思路呢?