6.ring0-更改dbgport地址偏移过掉dbgport清0

最新推荐文章于 2023-01-11 15:00:16 发布
最新推荐文章于 2023-01-11 15:00:16 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: 安全 (ring0) 文章标签: null fun 汇编 windows 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7791390
版权 
正方案:
把 EPROCESS->DebugPort = NULL清零,这样调试器就无法接受到消息了,也就无法调试了

反方案:
以下的操作都可以写成一个script来操作.

debugport和哪些函数相关

1.首先打开一个calc.exe: 
kd> !process 0 0 calc.exe
PROCESS 861a9020  SessionId: 0  Cid: 068c    Peb: 7ffdb000  ParentCid: 05c8
    DirBase: 0c9801a0  ObjectTable: e21cdd28  HandleCount:  44.
    Image: calc.exe
查看下debugport的位置 
kd> dt _EPROCESS -y DebugPort  861a9020  
nt!_EPROCESS
   +0x0bc DebugPort : (null)

这里看到偏移是0xbc

对它下内存读写断点:(r是表示读或写)

kd> ba r4 861a9020+0xbc
kd> bl
 0 e 861a90dc r 4 0001 (0001)
2.g运行系统,虚拟机本地打开一个windbg,附加上calc.exe,这时系统肯定会断下来 

kd> g
Breakpoint 0 hit
nt!DbgkpSetProcessDebugObject+0x5c:
8063a8b2 7573            jne     nt!DbgkpSetProcessDebugObject+0xd1 (8063a927)

第一个函数:DbgkpSetProcessDebugObject(注意edi+0BCh即debugport的位置,前面说了位置是0xbc),当调试器附加进程时设置DebugPort

kd> # bch nt!DbgkpSetProcessDebugObject 
nt!DbgkpSetProcessDebugObject+0x56:
8063a8ac 399fbc000000    cmp     dword ptr [edi+0BCh],ebx

还有一处: 

kd> # bch 
nt!DbgkpSetProcessDebugObject+0x64:
8063a8ba 8987bc000000    mov     dword ptr [edi+0BCh],eax
第二个函数:DbgkpMarkProcessPeb (注意+0BCh即debugport的位置,前面说了位置是0xbc),当调试器附加进程时设置DebugPort 

kd> # bch nt!DbgkpMarkProcessPeb
nt!DbgkpMarkProcessPeb+0x42:
80639862 39bebc000000    cmp     dword ptr [esi+0BCh],edi
第三个函数:DbgkCreateThread(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送线程或者进程创建的调试信息 
kd> # bch nt!DbgkCreateThread 
nt!DbgkCreateThread+0x125:
8063b0d7 399ebc000000    cmp     dword ptr [esi+0BCh],ebx
第四个函数:DbgkpQueueMessage(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息 

kd> # bch nt!DbgkpQueueMessage 
nt!DbgkpQueueMessage+0x7b:
80639b8d 8b80bc000000    mov     eax,dword ptr [eax+0BCh]
第五个函数:KiDispatchException(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息 

kd> # bch nt!KiDispatchException 
nt!KiDispatchException+0x187:
804fdac5 39b8bc000000    cmp     dword ptr [eax+0BCh],edi
第六个函数:DbgkForwardException(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息 

kd> # bch nt!KiDispatchException 
nt!KiDispatchException+0x187:
804fdac5 39b8bc000000    cmp     dword ptr [eax+0BCh],edi
第七个函数:PspExitThread(注意+0BCh即debugport的位置,前面说了位置是0xbc), 发送线程退出、进程退出的调试信息 

kd> # bch nt!PspExitThread 
nt!PspExitThread+0x286:
805c9554 399fbc000000    cmp     dword ptr [edi+0BCh],ebx
第八个函数:DbgkExitThread(注意+0BCh即debugport的位置,前面说了位置是0xbc), 发送线程退出、进程退出的调试信息 

kd> # bch nt!DbgkExitThread 
nt!DbgkExitThread+0x20:
8063b370 8b89bc000000    mov     ecx,dword ptr [ecx+0BCh]
第九个函数:PspCreateProcess(注意+0BCh即debugport的位置,前面说了位置是0xbc),进程创建,设置DebugPort 

kd> # bch nt!PspCreateProcess
nt!PspCreateProcess+0x1a9:
805c7c35 8983bc000000    mov     dword ptr [ebx+0BCh],eax

统计了下:

函数如下:

    PspCreateProcess、MmCreatePeb 进程创建,设置DebugPort
    DbgkCreateThread 发送线程或者进程创建的调试信息
    KiDispatchException、DbgkForwardException和DbgkpQueueMessage 发送异常调试信息
    PspExitThread、DbgkExitThread和DbgkExitProcess 发送线程退出、进程退出的调试信息
    DbgkMapViewOfSection和DbgkUnMapViewOfSection 发送映像装载卸载调试信息
    DbgkpSetProcessDebugObject和DbgkpMarkProcessPeb 当调试器附加进程时设置DebugPort   

 2.替换地址
           mov     ecx,dword ptr [ecx+0BCh] //0xBCh就是DebugPort的偏移
          我们可以把DebugPort转移到_EPROCESS的另外一个地方使用+0×070 CreateTime,它是纪录进程创建时间的,进程创建之后,在进程退出前系统不会对它进行任何修改,而且我们修改后对系统或进程没有任何影响。我们可以把上面的所有的代码改成这样
          mov     ecx,dword ptr [ecx+070h] //指向CreateTime,实际的DebugPort已经被移到这里
     只需要修改一个字节,非常简单

















花熊
关注
专栏目录
绕过DebugPort零自建调试体系
haodawei123的博客
03-16 3075
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
围观tp驱动保护。详解debugport0
kingswb的博客
06-11 2712
标 题: 围观tp驱动保护。详解debugport0 作 者: 诶一 时 间: 2012-08-25,22:15:56 链 接: http://bbs.pediy.com/showthread.php?t=155139 刚毕业,找工作的时候郁闷中,还没找到理想的工作,刚好回到家又没什么事情,就研究下tp保护,闲闲散散的也搞了2个星期了。索性弄好了也就发篇文章了,求个精华阿,第一个精华
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 1999
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
过TP保护的DebugPort零,科普一下
ccx_john的专栏
01-08 4836
我们知道,DebugPort位于EPROCESS这个结构体中   不知道啊?去幼儿园向小朋友问   我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样   可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS   这个不多介绍,详情去网上搜   另外,DNF.exe会调用NtOpenProcess进行反调试检测   那么我们不浪费,就地取材,从这里开始入手
180310 逆向-反调试技术(3)DebugObject
whklhhhh的博客
03-23 728
1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】 A. 反调试技术(3) B. DebugObject 之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的 调试器与被调试程序建立关系有两种途径 在创建进程时设置DEBUG_PROCESS 调用DebugActiveP...
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2215
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
Win7-ring0-Kill360-AllProcess.zip_kill process win7_win7_win7 36
07-14
标题中的"Win7-ring0-Kill360-AllProcess.zip"表明这是一个关于在Windows 7操作系统中,针对360安全软件(可能是360杀毒或360安全卫士)进行进程终止的程序或者技术。"Ring0"通常指的是计算机硬件抽象层的最底层,也...
创建Maven工程有时缺失(jmxri.jar+ring-cors.jar+jmsjar+jmxtools.jar),四合一
07-04
本文将深入探讨标题中提到的四个关键 jar 文件——`jmxri-1.2.1.jar`、`ring-cors-0.1.5.jar`、`jms-1.1.jar` 和 `jmxtools-1.2.1.jar`,以及它们在Maven工程中的作用。 首先,`jmxri-1.2.1.jar` 是Java Management...
RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删
07-14
在IT领域,"RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删"这个标题和描述涉及到的是操作系统底层编程和系统管理的知识,特别是与Ring0级别、文件删除以及驱动程序操作相关的技术。Ring0是操作系统内核执行...
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
winring0.zip_WinRing0.dll_c++ WinRing0_ring 0_winrin_winring
07-15
API RING 0级调用,是一个非常好的例子,我真的是佩服了!
来自看雪的手把手调试DebugPort
liujiayu2的专栏
06-30 3383
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 0,倒是难倒了我。。。 所谓DebugPort 0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 2021
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
中断和异常
u012138730的专栏
05-10 3106
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
反 DebugAPI 调试?
小喂的专栏
05-04 1897
利用 DebugAPI 调试程序时,系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpPr
int3 Windows系统调试原理
ALakers的博客
09-19 1292
本文转自:https://www.cnblogs.com/xuanyuan/p/3998408.html 探索调试器下断点的原理   在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程序不处于调试状态则会弹出一个错误信息,之后程序就结束。使用VC开发程序时,在Debug版本的程序中,编译器会向函数栈帧中填充大量的0xCC,用于调试使用。因此,经常我们的程序发生缓冲区溢出时,
Windows SEH学习 x86
weixin_30519071的博客
07-19 276
windows提供的异常处理机制实际上只是一个简单的框架。我们通常所用的异常处理(比如C++的throw、try、catch)都是编译器在系统提供的异常处理机制上进行加工了的增强版本。这里先抛开增强版的不提,先说原始版本。 原始版本的机制很简单:谁都可以触发异常,谁都可以处理异常(只要它能看得见)。但是不管是触发还是处理都得先注册。系统把这些注册信息保存在一个链表里,并...
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。
YoungBoz的专栏
04-17 4491
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
swift-ring-builder account.builder add --region 1 --zone 1 --ip 192.168.200.20 --port 6202 --device sdc --weight 100
最新发布
06-03
这是一个在OpenStack Swift中创建一个新的账户的命令,其中: - `swift-ring-builder` 是创建和修改 Swift ring 的命令。 - `account.builder` 是使用的 ring 文件的名称。 - `add` 是该命令的操作,用于将新的设备添加到环中。 - `--region 1` 表示将此设备添加到的区域编号。 - `--zone 1` 表示将此设备添加到的可用区编号。 - `--ip 192.168.200.20` 表示此设备的 IP 地址。 - `--port 6202` 表示此设备的端口号。 - `--device sdc` 表示此设备的设备名称。 - `--weight 100` 表示此设备的权重值。 所以这个命令的意思是:将 IP 为 192.168.200.20,端口号为 6202,设备名称为 sdc,权重值为 100 的设备添加到区域编号为 1,可用区编号为 1 的 Swift 环中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值