处理*P 对KdSendPacket和KdReceivePacket的IAT HOOK

最新推荐文章于 2021-03-11 21:37:36 发布
最新推荐文章于 2021-03-11 21:37:36 发布
阅读量909 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allenwangdiy/article/details/50962783
版权
本文介绍了如何处理*P对KdSendPacket和KdReceivePacket的IAT Hook,以防止调试器通过COM串口与虚拟机通信,阻断Windbg等调试工具的断点设置。通过反汇编,找到这两个函数在KDCOM.DLL中的真实地址,并用全局变量替换IAT中的地址,以恢复正常的调试能力。
摘要由CSDN通过智能技术生成

KdReceivePacket : com串口接收调试包

KdSendpacket:       com串口发送调试包


*P会 IAT Hook这两个收发包的函数,从而阻断我们客户机与虚拟机的通信,这样的话windbg就无法断下来了,从而达到反双击调试。

通过反汇编得到如下:

KdSendpacket:



KdReceivePacket :

最低0.47元/天 解锁文章
allenwangdiy
关注
IAT HOOK
enjoy5512的博客
06-02 1万+
IAT Hook的实现
IAT Hook
weixin_30907523的博客
06-04 138
目录 IAT hook 一丶IAT 1.什么是 IAT表. 2.怎么进行HOOK IAT hook 一丶IAT 1.什么是 IAT表. 熟悉PE结构的应该知道.IAT 是导入表. 其IAT表如下: typedef struct _I...
过TP保护的最佳方法(最新整理)
10-20
5. **`KDCOM.dll`中的`KdReceivePacket`与`KdSendPacket`**:主要用于防范双机调试(Dual Debugger)场景; 6. **调用`KdDisableDebugger`**:进一步加强对于调试器的防御能力。 此外,TMD_TP保护机制还实施了一...
DNF游戏保护深度剖析:过TP策略与技术细节
此外,游戏还利用COM(Component Object Model)串口通信的接口,即KDCOM.dll中的KdReceivePacketKdSendPacket,来限制远程调试。通过KdDisableDebugger函数,游戏禁用了双机调试功能,防止玩家通过多台设备同时...
反调试与反反调试
zhuhuibeishadiao
03-31 5646
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
IAT HOOK
weixin_44711063的博客
03-11 653
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
C++ IAT HOOK(MessageBoxW 为例)
LYSM
08-15 1034
最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头 … 下面是庄重的代码献祭时刻 —— 首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。 DLL 代码: 注释很全,尔等不可能看不懂 // dllmain.c...
IAT_HOOK
心之所向,身之所往
05-25 653
使用IAT  HOOK 截获MessageBox函数 步骤如下 1..写一个自己的MessageBox 函数 注意调用约定为 __stdcall、、 2..定义一MessageBox函数指针如下 typedef int (__stdcall *pOldMBox)(HWNDhWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uType); 3..遍历本
hook技术--IAT hook
weixin_30439031的博客
03-16 183
1.简介 当程序运行后IAT表才会被系统根据pe文件的导入表等信息填充该IAT字段, 填充后的IAT的函数地址是对应模块加载后真正的函数地址,程序中对dll中 的导出函数的调用也是通过该IAT的记录来调用的.因此可以通过注入dll后, 通过dll中的代码修改IAT表的记录,来实现hook. 原来的调用过程: call [aaaaa] => IAT[aaaaaa]::bbbbb =&g...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值