KdDebuggerEnabled,kdDisableDebugger

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: windows内核 文章标签: integer c
判断是否有内核调试器在调试, 如果有调试器,则断开
; 如果没有,则直接返回

IsKernelDebugger proc near            
        jmp   short L2
L1:                         
        call    KdDisableDebugger
L2:
        mov     edx, ds:KdDebuggerEnabled
        xor     ecx, ecx
        xor     eax, eax
        inc     ecx
        inc     eax
        lock cmpxchg [edx], ecx
        test    al, al
        jnz     short L1
        retn
IsKernelDebugger endp

贴个c的代码:
void IsKernelDebugger()
{
      while ( 1 )
      {
           if(KdDebuggerEnabled)
              KdDisableDebugger();
           else
              break;
      }
}

 内核地址0xFFDF0000和用户地址0x7FFE0000都指向同一物理页面。 内核地址是可写的,但用户地址则不能。也就说是说,我们可以在ring0层把信息写入到0xFFDF0000~0xFFDF0FFF的4K虚拟页面空间,由于用户地址0x7FFE0000也指向这个物理页面,所以我们在0xFFDF0000~0xFFDF0FFF地址写入的代码,在用户空间可以访问到。该共享区域的大小是4K。内核占用其中一部分,内存区域的名称是KUSER_SHARED_DATA。可以在WinDbg中看看。
KdDebuggerEnabled就位于内核共享区。
lkd> dt _KUSER_SHARED_DATA
ntdll!_KUSER_SHARED_DATA
   +0x000 TickCountLow     : Uint4B
   +0x004 TickCountMultiplier : Uint4B
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   +0x020 TimeZoneBias     : _KSYSTEM_TIME
   +0x02c ImageNumberLow   : Uint2B
   +0x02e ImageNumberHigh : Uint2B
   +0x030 NtSystemRoot     : [260] Uint2B
   +0x238 MaxStackTraceDepth : Uint4B
   +0x23c CryptoExponent   : Uint4B
   +0x240 TimeZoneId       : Uint4B
   +0x244 Reserved2        : [8] Uint4B
   +0x264 NtProductType    : _NT_PRODUCT_TYPE
   +0x268 ProductTypeIsValid : UChar
   +0x26c NtMajorVersion   : Uint4B
   +0x270 NtMinorVersion   : Uint4B
   +0x274 ProcessorFeatures : [64] UChar
   +0x2b4 Reserved1        : Uint4B
   +0x2b8 Reserved3        : Uint4B
   +0x2bc TimeSlip         : Uint4B
   +0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE
   +0x2c8 SystemExpirationDate : _LARGE_INTEGER
   +0x2d0 SuiteMask        : Uint4B
   +0x2d4 KdDebuggerEnabled : UChar
   +0x2d5 NXSupportPolicy : UChar
   +0x2d8 ActiveConsoleId : Uint4B
   +0x2dc DismountCount    : Uint4B
   +0x2e0 ComPlusPackage   : Uint4B
   +0x2e4 LastSystemRITEventTickCount : Uint4B
   +0x2e8 NumberOfPhysicalPages : Uint4B
   +0x2ec SafeBootMode     : UChar
   +0x2f0 TraceLogging     : Uint4B
   +0x2f8 TestRetInstruction : Uint8B
   +0x300 SystemCall       : Uint4B
   +0x304 SystemCallReturn : Uint4B
   +0x308 SystemCallPad    : [3] Uint8B
   +0x320 TickCount        : _KSYSTEM_TIME
   +0x320 TickCountQuad    : Uint8B
   +0x330 Cookie           : Uint4B

鉴于此,我们可以在用户模式下,判断当前是否有内核调试器。即从 7FFE0000偏移 0x2d4的位置取出 KdDebuggerEnabled 。如下所示:
lkd> db 7FFE02D4
7ffe02d4 00 

除此之外,还可以从这里得到系统目录,操作系统主版本号,此版本号,是否安全模式,系统时间,时区等等众多的信息。哈哈,收获很大啊!


http://hi.baidu.com/combojiang/blog/item/6f9b5802e3d8ef094bfb518d.html

goooglec
关注
专栏目录
[反调试 r0] —— KdDebuggerEnabled
墨鱼菜鸡
07-03 225
理论基础 无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户进程使用。 事实上,用户空间和内核空间其实有一块共享区域(KUSER_SHARED_D...
[反调试 r0] KdDisableDebugger
LYSM
04-16 590
原理 这是微软提供的一个 api , KdDisableDebugger 例程禁用内核调试器。 NTSTATUS KdDisableDebugger(); 应用 直接调用这个 api 可以让 windbg 与被调试机器脱离,对抗的方法就是 hook 这个 api ,在开头返回 STATUS_SUCCESS 。 ...
KdDisableDebugger()反调试
sanqiuai的博客
09-01 354
NTSTATUS KdDisableDebugger(); 剥离内核调试器成功,返回 STATUS_SUCCESS 如果并没有内核调试器,返回STATUS_DEBUGGER_INACTIVE 如果内核调试器处于阻塞状态返回STATUS_ACCESS_DENIED KdDisableDebugger函数会判断一个全局变量,当系统不是在调试下启动时,该值为1,在调试下启动时该值被置0,且该值只在操作系统启动时被初始化了一次(推测),当该值为0时,KdDisableDebugger会调用相关函数使内核调试器与操作
过双机调试
07-15
”前缀通常表示这是Windows NT操作系统内核的一部分,而“KdDisableDebugger”则是一个用于禁用调试器的功能函数。 4. **804f88768bffmovedi,edi**:这是一个汇编语言指令,将寄存器EDI中的值移动到自身,即不改变...
Icesword 是如何列出隐藏进程.docx
09-26
同时,Icesword 还检查 KdDebuggerEnabled 变量,如果内核调试被允许,它会调用 KdDisableDebugger 函数禁用内核调试功能。 在代码层面,Icesword 设计了一些反调试的陷阱。例如,存在一段代码片段用于检测调试状态...
分享Win10 1903过TP的双机调试问题
10-15
将`KdDebuggerEnabled`设置为FALSE可以防止安全组件加载失败,因为安全组件可能会检查该变量的状态。 4. 断链隐藏`kdcom`。这是调试器与被调试程序通讯时可能会被安全检测机制发现并导致进程崩溃的一种保护措施。...
hidekd 隐藏调试器
02-26
HideKd v0.1 Hide WinDbg、KD from detected. ... Skip KdDebuggerEnabled,KdEnteredDebugger detect. Skip SharedUserData->KdDebuggerEnabled detect. Skip NtQuerySystemInformation detect.
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1601
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
过Tp 双击调试
05-02
过Tp 的双机调试代码和工程,里面有比较详细的代码注释,好东西 希望可以 和大家一起分享
隐藏调试器的代码
03-04
隐藏调试器的功能代码,解决屏蔽双机调试的驱动代码,使双机调试可以顺利进行。
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4729
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
_KUSER_SHARED_DATA 结构查看
huanongying131的博客
08-08 2324
windbg双机调试: kd> !dml_proc //1 Address PID Image file name 863df8a8 4 System 87863448 108 smss.exe ...
关于过某P的双机联调
kingswb的博客
04-18 1287
标 题: 关于过某P的双机联调 作 者: upupc 时 间: 2013-03-05,18:20:57 链 接: http://bbs.pediy.com/showthread.php?t=163630 最近公司没啥事做,闲的蛋疼,于是来研究下怎么过某游戏驱动保护的双机联调。 调试环境: win7 + windbg + VirtualKD +vmware(虚拟机装的XP SP3)
oracle反调试,Win7 x86内核调试与TP反调试的研究
weixin_39988331的博客
04-14 374
本文在Win7 x86下的分析,在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。0x01 内核调试全局变量根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数第一次调用KdInitSystem分别会初始化如下变量1.KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被...
Anti Anti Windbg
weixin_34163553的博客
09-07 136
今天和大家分享一个小心得,想必很多高手已经玩腻了~飘过吧!最近接触了不少游戏保护,它们或多或少的都有一个特制就是在被调试机上运行游戏以后调试机上的WINDBG就接受不到信息了。起初我也困惑的很,而且在驱动当中设置int 3断点会蓝屏。后来在一个应用程序中添加了__asm int 3这个应用程序就崩溃了。得到结论它们都是用了KdDisableDebugger函数来...
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2034
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
替换SharedUserData
04-26 2758
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9032
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值