反调试 - r3 使用 NtQuerySystemInformation 获取 KdKdDebuggerEnable 和 KdDebuggerNotPresent

最新推荐文章于 2024-06-07 12:27:53 发布
最新推荐文章于 2024-06-07 12:27:53 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107344650
版权

原理

NtQuerySystemInformation 被 ntdll.dll 导出,当第一个参数传入 0x23 (SystemInterruptInformation) 时,会返回一个 SYSTEM_KERNEL_DEBUGGER_INFORMATION 结构,里面的成员KdKdDebuggerEnable 和 KdDebuggerNotPresent 标志系统是否启用内核调试。

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

typedef struct _SYSTEM_KERNEL_DEBUGGER_INFORMATION{
	BOOLEAN KernelDebuggerEnabled;
	BOOLEAN KernelDebuggerNotPresent;
} SYSTEM_KERNEL_DEBUGGER_INFORMATION, * PSYSTEM_KERNEL_DEBUGGER_INFORMATION;
typedef NTSTATUS(WINAPI* pNtQuerySystemInformation)(IN UINT SystemInformationClass,OUT PVOID SystemInformation,IN ULONG SystemInformationLength,OUT PULONG ReturnLength);

int main()
{
   // 取 NtQuerySystemInformation 地址
	pNtQuerySystemInformation NtQuerySystemInformation = (pNtQuerySystemInformation)GetProcAddress(LoadLibrary(L"ntdll.dll"), "ZwQuerySystemInformation");
	if (NtQuerySystemInformation == NULL) {
		goto main_end;
	}

	// 获取系统信息
	SYSTEM_KERNEL_DEBUGGER_INFORMATION KdDebuggerInfo;		
	if (NtQuerySystemInformation(
		0x23,																							// 要检索的系统信息的类型: SystemInterruptInformation
		&KdDebuggerInfo,																	// 接受请求信息
		sizeof(SYSTEM_KERNEL_DEBUGGER_INFORMATION),		// 请求信息的字节大小
		NULL
	) != 0) {
		goto main_end;
	}

	// 判断调试器
	if (KdDebuggerInfo.KernelDebuggerEnabled || !KdDebuggerInfo.KernelDebuggerNotPresent) {
		cout << "发现调试器!" << endl;
	}
	else {
		cout << "没有调试器" << endl;
	}

main_end:
    getchar();
    return 0;
}
(-: LYSM :-)
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TP保护的研究和学习-内核调试探索篇(一)
星空漫步者
04-23 1634
TP保护的研究和学习-内核调试探索篇(一) 引言: ​ 本篇系列旨在研究学习腾讯保护系统的保护方案实现,文中尽量以“发现问题然后尝试解决问题”的模式来处理遇到的问题,此前网上有太多相关的资料都只是给出了一个结论式答案或者方法,对于想要深入学习的人太不友好。 我相信有很多人和我一样在尝试去深入分析的时候遇到了各种问题,我的处理方式就是遇到实际问题实际分析的方式来推进学习; ​ 计算机理论到现在为止已...
C++ 调试(NtQueryInformationProcess)
LYSM
09-17 2067
关于 NtQueryInformationProcess 的调试参考这篇文章 没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` )) 首先我们看下之前写的代码(部分): status = NtQueryInformationProcess( GetCurrentProcess(), // 进程句柄 ...
进程遍历-NtQuerySystemInformation枚举
最新发布
hide_in_darkness的博客
06-07 571
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
r3调试
liuhaidon1992的博客
01-08 2018
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
XX游戏R3调试 初探
把梦想放飞在蓝色的天空里...
12-24 8513
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5438
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
NtQueryInformationProcess (调试)
lwhaaaa的博客
04-26 2714
文章目录0x01 NtQueryInformationProcess ()一、NtQueryInformationProcess ()二、CheckRemoteDebuggerPresent() 0x01 NtQueryInformationProcess () 一、NtQueryInformationProcess () ​ 函数原型: NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess (   IN HANDLE         ProcessHandl
调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 376
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种调试手法可以检测大部分的第三方OD。 首先...
易语言-用NtQuerySystemInformation函数暴力枚举驱动
06-29
易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation
05-27
使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩...
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
03-20
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
vb获取CPU使用
03-31
### vb获取CPU使用率 在本篇文章中,我们将探讨如何使用Visual Basic (VB) 编程语言来获取计算机CPU的使用率。对于那些对系统监控、性能分析或资源管理感兴趣的开发者来说,这是一个非常实用的功能。 #### 一、...
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
03-19
在Windows操作系统中,获取进程资源使用情况是系统分析和性能监控的重要部分。`NtQuerySystemInformation`函数是一个低级别的API调用,用于获取系统级的信息,包括但不限于进程信息、内存状态、硬件配置等。本项目...
易语言获取SSDT源地址源码-易语言
06-13
3. **调用系统函数**:使用获取到的函数指针,调用`NtQuerySystemInformation`函数,传递适当的参数,如`SystemServiceTable`信息类,来获取SSDT的详细信息。 4. **解析数据**:`NtQuerySystemInformation`返回的...
调试技术
bj5716的博客
04-21 955
前言调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些调试技术。0x1探测调试使用windows api使用windows api函数探测调试器是否存在是最简单的调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
过某P之KdEnteredDebugger检测
08-24 1776
某p在双机调试时,会检测KdEnteredDebugger是否等于1,如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析,当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 PMDL MyIoAllocateMdl( __in_opt PVOID VirtualAddress, __in...
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1569
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
(转载)获取Windows 系统的内核变量
Kendiv's Box
11-12 1883
获取Windows 系统的内核变量转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内核变量作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]com        tombkeeper[0x40]xfocus[0x
CreateToolhelp32Snapshot和NtQuerySystemInformation
05-25
CreateToolhelp32Snapshot和NtQuerySystemInformation都是Windows API函数,用于获取系统中正在运行的进程和模块信息。 CreateToolhelp32Snapshot函数可以快速获取当前运行的进程和模块信息,它会返回一个快照句柄,通过这个句柄可以遍历系统中的进程和模块信息。 NtQuerySystemInformation是一个高级函数,可以获取更详细的系统信息,包括进程和线程信息,内存信息,驱动程序信息等。它返回一个系统信息结构体,可以通过结构体中的字段获取具体的信息。但是NtQuerySystemInformation函数需要较高的权限才能调用,而且在不同的Windows版本中可能会有不同的实现方式。 总的来说,CreateToolhelp32Snapshot比NtQuerySystemInformation更简单易用,但是NtQuerySystemInformation可以获取更详细的系统信息。在实际使用中,可以根据具体需求来选择使用哪个函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值