[反调试 r0] KdDisableDebugger

最新推荐文章于 2024-04-25 09:40:25 发布
最新推荐文章于 2024-04-25 09:40:25 发布
阅读量576 收藏
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/115768495
版权

原理

这是微软提供的一个 api , KdDisableDebugger 例程禁用内核调试器。

NTSTATUS KdDisableDebugger();

应用

直接调用这个 api 可以让 windbg 与被调试机器脱离,对抗的方法就是 hook 这个 api ,在开头返回 STATUS_SUCCESS 。

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1361
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
ring0内核调试器hyperdbg
08-10
一个和softice,windbg类似的ring0级的调试
HyperDbg:下一代动态程序分析神器
最新发布
gitblog_00051的博客
04-25 417
HyperDbg:下一代动态程序分析神器 项目地址:https://gitcode.com/HyperDbg/HyperDbg HyperDbg 是一个开放源码的、跨平台的调试框架,它利用现代软件工程的理念和高级编程语言特性,提供了一种高效且易于使用的动态程序分析工具。无论是安全研究人员、软件开发者还是系统分析师,都能从中受益,提升其对复杂软件行为的理解与调试能力。 技术解析 HyperDbg 基...
[r0调试] EPROCESS - Protection
LYSM
08-16 507
调试进程时 , 进程的 EPROCESS 的 Protection 成员 为 1 , 默认情况下是 0 。 可以通过这个特征判断是否处于调试状态。当然这个不是官方的方法,但是用来对已知的进程(自己的)做调试足以。 ...
[调试 r0] —— KdDebuggerEnabled
LYSM
07-03 1834
理论基础 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户进程使用。 事实上,用户空间和内核空间其实有一块共享区域(KUSER_SHARED_DATA),大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的,KdDebuggerEnabled 就在存放这一块内存里。 对于 32 位系统和 64 位系统来说,这块共享区域对应的内核地址范围以及对应用户空间的地址范围如下表所示: ???? 内核起始地
KdDisableDebugger()调试
sanqiuai的博客
09-01 343
NTSTATUS KdDisableDebugger(); 剥离内核调试器成功,返回 STATUS_SUCCESS 如果并没有内核调试器,返回STATUS_DEBUGGER_INACTIVE 如果内核调试器处于阻塞状态返回STATUS_ACCESS_DENIED KdDisableDebugger函数会判断一个全局变量,当系统不是在调试下启动时,该值为1,在调试下启动时该值被置0,且该值只在操作系统启动时被初始化了一次(推测),当该值为0时,KdDisableDebugger会调用相关函数使内核调试器与操作
Icesword 是如何列出隐藏进程.docx
09-26
它的工作原理主要依赖于对操作系统内部结构的深入理解和巧妙的调试技术。以下将详细解释 Icesword 如何列出隐藏进程以及其调试策略。 首先,Icesword 利用了操作系统中的 PspCidTable 数据结构来遍历和获取进程...
过TP保护的基本方案
01-27
为了加强保护,TMD_TP还使用`KdDisableDebugger`禁用双机调试,并对`debugport`进行清零操作,以防止硬件断点的设置。如果尝试恢复这些HOOK,可能会触发计算机重启,例如通过向64端口写入0xFE。 针对TMD_TP的解决...
KdDebuggerEnabled,kdDisableDebugger
goooglec的专栏
03-05 2127
判断是否有内核调试器在调试, 如果有调试器,则断开 ; 如果没有,则直接返回 IsKernelDebugger proc near                     jmp   short L2 L1:                                  call    KdDisableDebugger L2:         mov     edx, ds
剥离与插入调试信息及符号表
时代终结者
08-04 1371
http://blog.chinaunix.net/uid-24774106-id-3526766.html
hyperdbg调试
03-23
HyperDbg is a kernel debugger that leverages hardware-assisted virtualization. More precisely, HyperDbg is based on a minimalistic hypervisor that is installed while the system runs. Compared to traditional kernel debuggers (e.g., WinDbg, SoftIce, Rasta R0 Debugger) HyperDbg is completely transparent to the kernel and can be used to debug kernel code without the need of serial (or USB) cables. For example, HyperDbg allows to single step the execution of the kernel, even when the kernel is executing exception and interrupt handlers. Compared to traditional virtual machine based debuggers (e.g., the VMware builtin debugger), HyperDbg does not require the kernel to be run as a guest of a virtual machine, although it is as powerful.
基于vt技术的调试器(自建调试体系 转移debugport)(支持win10 x64 推荐版本19042.1526或者更高)
02-27
a debugger use vt technology 1.support windows 10 x64 only(recommend version:19042.1526 or higher) 2.your system must support vt technology 3.sign the drivers by yourself
关于调试&调试那些事
pilgrim1385的专栏
11-29 1912
前言 在逆向和保护的过程中,总会涉及到调试调试的问题,这篇文章主要是总结一下几种常见的调试手段以及调试的方法。 调试 ptrace 为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_D
[调试 r0] DebugPort 端口清零
墨鱼菜鸡
04-16 234
原理 debugport 是在 EPROCESS 结构中的.调试时间会通过 DebugPor t端口将调试事件发送给 ring3 进行调试的.如果设置为0.则 ring3 就无法进行调试了。 这是我随便找的一个系统下的...
R3与R0联调
kernweak的博客
05-23 691
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
开源项目-基于Intel VT技术的Linux内核调试
陈莉君的专栏
08-09 5179
本开源项目将硬件虚拟化技术应用在内核调试器上,使内核调试器成为VMM,将操作系统置于虚拟机中运行,即操作系统成为GuestOS,以这样的一种形式进行调试,最主要的好处就是调试器对操作系统完全透明。如下图:        图1 虚拟化调试器框架     传统的内核调试器的工作原理是接管中断向量表中的INT1和INT3处理程序。前者对应的是 #DB异常,通常是设置了单步标志后引发的
自动启动调试
08-21 613
调试,自动挂载,异常后挂载
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 1020
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值