[反调试 r0] KdDisableDebugger

最新推荐文章于 2022-05-27 00:23:39 发布
最新推荐文章于 2022-05-27 00:23:39 发布
阅读量578 收藏
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/115768495
版权

原理

这是微软提供的一个 api , KdDisableDebugger 例程禁用内核调试器。

NTSTATUS KdDisableDebugger();

应用

直接调用这个 api 可以让 windbg 与被调试机器脱离,对抗的方法就是 hook 这个 api ,在开头返回 STATUS_SUCCESS 。

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring0内核调试器hyperdbg
08-10
一个和softice,windbg类似的ring0级的调试
过双机调试
07-15
”前缀通常表示这是Windows NT操作系统内核的一部分,而“KdDisableDebugger”则是一个用于禁用调试器的功能函数。 4. **804f88768bffmovedi,edi**:这是一个汇编语言指令,将寄存器EDI中的值移动到自身,即不改变...
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1364
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
[r0调试] EPROCESS - Protection
LYSM
08-16 512
调试进程时 , 进程的 EPROCESS 的 Protection 成员 为 1 , 默认情况下是 0 。 可以通过这个特征判断是否处于调试状态。当然这个不是官方的方法,但是用来对已知的进程(自己的)做调试足以。 ...
[调试 r0] —— KdDebuggerEnabled
LYSM
07-03 1852
理论基础 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户进程使用。 事实上,用户空间和内核空间其实有一块共享区域(KUSER_SHARED_DATA),大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的,KdDebuggerEnabled 就在存放这一块内存里。 对于 32 位系统和 64 位系统来说,这块共享区域对应的内核地址范围以及对应用户空间的地址范围如下表所示: ???? 内核起始地
KdDisableDebugger()调试
sanqiuai的博客
09-01 344
NTSTATUS KdDisableDebugger(); 剥离内核调试器成功,返回 STATUS_SUCCESS 如果并没有内核调试器,返回STATUS_DEBUGGER_INACTIVE 如果内核调试器处于阻塞状态返回STATUS_ACCESS_DENIED KdDisableDebugger函数会判断一个全局变量,当系统不是在调试下启动时,该值为1,在调试下启动时该值被置0,且该值只在操作系统启动时被初始化了一次(推测),当该值为0时,KdDisableDebugger会调用相关函数使内核调试器与操作
Icesword 是如何列出隐藏进程.docx
09-26
它的工作原理主要依赖于对操作系统内部结构的深入理解和巧妙的调试技术。以下将详细解释 Icesword 如何列出隐藏进程以及其调试策略。 首先,Icesword 利用了操作系统中的 PspCidTable 数据结构来遍历和获取进程...
过TP保护的最佳方法(最新整理)
10-20
6. **调用`KdDisableDebugger`**:进一步加强对于调试器的防御能力。 此外,TMD_TP保护机制还实施了一系列极端措施,比如对debug port进行持续的清零操作,并通过对EPROCESS结构体中特定偏移地址的修改,来达到...
hyperdbg调试
03-23
HyperDbg is a kernel debugger that leverages hardware-assisted virtualization. More precisely, HyperDbg is based on a minimalistic hypervisor that is installed while the system runs. Compared to traditional kernel debuggers (e.g., WinDbg, SoftIce, Rasta R0 Debugger) HyperDbg is completely transparent to the kernel and can be used to debug kernel code without the need of serial (or USB) cables. For example, HyperDbg allows to single step the execution of the kernel, even when the kernel is executing exception and interrupt handlers. Compared to traditional virtual machine based debuggers (e.g., the VMware builtin debugger), HyperDbg does not require the kernel to be run as a guest of a virtual machine, although it is as powerful.
基于vt技术的调试器(自建调试体系 转移debugport)(支持win10 x64 推荐版本19042.1526或者更高)
02-27
a debugger use vt technology 1.support windows 10 x64 only(recommend version:19042.1526 or higher) 2.your system must support vt technology 3.sign the drivers by yourself
KdDebuggerEnabled,kdDisableDebugger
goooglec的专栏
03-05 2131
判断是否有内核调试器在调试, 如果有调试器,则断开 ; 如果没有,则直接返回 IsKernelDebugger proc near                     jmp   short L2 L1:                                  call    KdDisableDebugger L2:         mov     edx, ds
剥离与插入调试信息及符号表
时代终结者
08-04 1374
http://blog.chinaunix.net/uid-24774106-id-3526766.html
关于调试&调试那些事
pilgrim1385的专栏
11-29 1925
前言 在逆向和保护的过程中,总会涉及到调试调试的问题,这篇文章主要是总结一下几种常见的调试手段以及调试的方法。 调试 ptrace 为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_D
[调试 r0] DebugPort 端口清零
墨鱼菜鸡
04-16 237
原理 debugport 是在 EPROCESS 结构中的.调试时间会通过 DebugPor t端口将调试事件发送给 ring3 进行调试的.如果设置为0.则 ring3 就无法进行调试了。 这是我随便找的一个系统下的...
R3与R0联调
kernweak的博客
05-23 698
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
调试调试
m0_55875295的博客
05-27 485
1.DebugPort 2.KdDisableDebugger, 禁用内核调试 KdEnableDeu
Anti Anti Windbg
weixin_34163553的博客
09-07 129
今天和大家分享一个小心得,想必很多高手已经玩腻了~飘过吧!最近接触了不少游戏保护,它们或多或少的都有一个特制就是在被调试机上运行游戏以后调试机上的WINDBG就接受不到信息了。起初我也困惑的很,而且在驱动当中设置int 3断点会蓝屏。后来在一个应用程序中添加了__asm int 3这个应用程序就崩溃了。得到结论它们都是用了KdDisableDebugger函数来...
DNF游戏保护深度剖析:过TP策略与技术细节
过TP保护是一种针对特定游戏——DNF(在国内非常流行)实施的高级安全措施,旨在防止调试器、汇编工具(如OD)以及未经授权的内存访问。该保护方案在操作系统内核级别采取了一系列策略,确保游戏的完整性。 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值