简单对抗某个驱动的反调试

最新推荐文章于 2024-09-06 22:34:26 发布
最新推荐文章于 2024-09-06 22:34:26 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 驱动调试
标 题: 【原创】简单对抗某个驱动的反调试
作 者: ReturnsMe
时 间: 2010-04-18,20:02:11
链 接: http://bbs.pediy.com/showthread.php?t=111236
先声明:
1.  本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。
2.我是菜鸟 ,都是些基本内容。只是看网上很多人搞,又弄的很麻烦,反正自己前两天玩儿了一小下,索性发出来。在ring0搞反反调试似乎已经被某广告鄙视的不行了~所以说我只是娱乐,没有其他目的。我很挫~欢迎批评指正,欢迎交流: http://hi.baidu.com/andriy_aolala/blog
3.  本文参考了一些文章,在文末 一 并感谢

不同游戏的保护驱动版本不太一样,我看的是cf的版本。先用ark初步扫描一下(如果要用xuetr,要先于tp加载,因为它hook了 tessafe.sys同样hook的指令,后启动xuetr导致直接重启),我用我以前写的一个ark扫描了一下。
他的hook如下:
代码: 
  IAT   kdcom.dll  KdSendPacket    KdRecivePacket
  Inline NtRead/WriteVirtualMemory KiAttachProcess
  Call hook  NtOpenThread NtOpenProcess 中的ObReferenceObjectByPointer
  此外还有3个Callback,两个系统线程
一、首先要解决内核调试的问题,有Windbg才好继续。
代码: 
.text:01001532                 call    ds:KdDisableDebugger
.text:01001538
.text:01001538 loc_1001538:                            ; CODE XREF: .text:01001530j
.text:01001538                 mov     edx, ds:KdDebuggerEnabled
.text:0100153E                 xor     ecx, ecx
.text:01001540                 xor     eax, eax
.text:01001542                 inc     ecx
.text:01001543                 inc     eax
.text:01001544                 lock cmpxchg [edx], ecx
.text:01001548                 test    al, al
.text:0100154A                 jnz     short loc_1001532
.text:0100154C                 retn
Ida里面有这么一段,这不新鲜了,直接注册一个LoadImageNotify,启动前IAT hook KdDisableDebugger 和KdDebuggerEnabled,再inline hook 掉TesSafe.sys 里面hook掉KdSendPacket    KdRecivePacket 的函数,跳转回原函数即可。

至此我们已经可以通过WinDbg调试驱动了。

二、放行OllyIce 和 CE

Tp hook 了一大堆,网上写的都是跳来跳去的绕过,但是即使绕过了也有可能过一段时间提示非法软件,原因不明。。总之这么来很费时间。

于是我在其OpenProcess 的hook函数里面找到
代码: 
.text:01001EBD                 call    ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3                 mov     [ebp+pEpro], eax
.text:01001EC6                 push    [ebp+pEpro]     ; pEpro
.text:01001EC9                 call    EprocessChk  ;非常关键的比对函数
.text:01001ECE                 movzx   eax, al
.text:01001ED1                 test    eax, eax
.text:01001ED3                 jz      short loc_1001EDA
.text:01001ED5                 jmp     loc_1001FC7  ;返回1的话 直接放行

.text:01001FC7                 mov     eax, off_100A090
.text:01001FCC                 or      ecx, 0FFFFFFFFh
.text:01001FCF                 lock xadd [eax], ecx
.text:01001FD3                 popf
.text:01001FD4                 popa
.text:01001FD5                 mov     esp, ebp
.text:01001FD7                 pop     ebp
.text:01001FD8                 jmp     OringinObReferenobjByPointer 跳回去
我们看看EprocessChk这个函数的伪代码
代码: 
char __stdcall EprocessChk(PEPROCESS pEpro)
{
  unsigned int v1; // ecx@2

  if ( pEpro != (PEPROCESS)dword_100AFAC )
  {
    v1 = 0;
    if ( !process_white_num )
      return 0;
    while ( pEpro != (PEPROCESS) process_white_list [v1] )
    {
      ++v1;
      if ( v1 >= process_white_num )
        return 0;
    }
  }
  return 1;
}
process_white_list 是一个全局数组 有0x20个位子,里面存放的是诸如System.exe之类的系统进程eprocess。
代码: 
kd> dd tessafe+EEE0
ee1c9ee0  863b57c0 8614cb78 86124598 861109d0
ee1c9ef0  86136da0 860fc3e8 860f6da0 860af510
ee1c9f00  860afda0 85fbada0 00000000 00000000
kd> !process 863b57c0
PROCESS 863b57c0  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 06c28020  ObjectTable: e1001e10  HandleCount: 240.
    Image: System
VadRoot 863b5050 Vads 4 Clone 0 Private 3. Modified 3279. Locked 0.
这个函数在其所有hook函数里面都存在,对方程序对于系统进程的函数调用是全部放行的。
所以,我们就注册一个CreateProcessNotify 把OD和CE加到那个白名单里面~~这样就不用绕hook了。
三、对抗debug port清零
  不熟悉debug port的同学可以去看软件调试,这是eprocess中的一个结构,是调试的关键,对方不停清零将导致OD像傻子一样,我看过的对抗方法有两种
1、  改内核函数DbgkXXX 系列函数中debug port相对于eprocess的偏移值 ,这个工作量太大,受不了。
2、  V大发的 重新编译WRK改eprocess结构。。这个倒是很通用啊~
其实对方程序想清零,也要有偏移,在xp中,0xbc是一个特殊的数字,IDA里面直接ATL+I …找到了3~4处,其中一处就是tp程序初始化硬编码。
代码: 
char __stdcall IniHardCode(int a1)
{
  int v1; // eax@3

  if ( dword_100A050 == 5 )  //这是版本号
  {
    if ( !dword_100A054 )
    {
      v1 = a1;
。。。。。。
      return 1;
    }
    if ( dword_100A054 == 1 )
    {
      v1 = a1;
      *(_DWORD *)(a1 + 4) = 0xBCu;  //这个值就是dbgport的偏移了
。。。。。。
这个函数的参数是一个申请的内存变量地址,保存在全局变量里,我们等其加载完毕后找到这块内存,修改0xbc为0x78(exit time的值),之后就让它丫清零去吧。
四、最后的疑问
1、至此,windbg可正常使用,OD 可附加可下断,但tufuzi 在其文章中说他会检查硬件断点,所以要hook NtGetContextThread,但我下断这里没见有程序调用。。我下完硬件断点也没见对方有什么反抗。。奇怪啊奇怪
2、虽然CE被加进了白名单,但是会报非法模块,不知其检测机制,驱动里确实找到了教主说的黑名单(名字一遍,特征值一遍),但是两个黑名单自始至终全是零,搞得我以为没有,但是检测函数是实实在在存在的,crc table也存在。我晕啊。
对反调试作者的建议:把你的CV多加一点。。别暴露这么多。。
kingswb
关注
专栏目录
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
红蓝对抗之红队免杀开发实践
悦分享
08-04 1968
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
StrongOD:StrongOD(调试插件)驱动程序源代码-windows source code
03-25
强OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试器检测技术。 这是StrongOD驱动程序的源代码,我几年前已将其转,有关更多信息,请访问: : 。 原谅我不是很好的编码风格。 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
Windows驱动调试的一种手段
qq_43147121的博客
10-01 430
DebugPort是在用windowsapi调试方式时候所使用的数据结构指针,那么如果我们能够循环清空这个值的话,就可以做到大部分windows调试api都无法正确调试进程。今天要介绍的是eprocess的0xbc位置。
DBVM驱动修改版CE7.4.1版本【防检测】
最新发布
gitblog_09802的博客
09-06 631
DBVM驱动修改版CE7.4.1版本【防检测】 项目地址:https://gitcode.com/open-source-toolkit/776ab 概述 本仓库提供了Cheat Engine 7.4.1的一个特殊修改版,专门针对驱动部分进行了深度定制。基于官方源码,我们对dbk32.sys和dbk64.sys进行了重新编译和调整,同时优化了ABIN32.sys与ABIN64.sys,以实现更高效...
内核驱动汇编调试
qq160816的专栏
05-25 1363
<br />arm-none-linux-gnueabi-objdump -D -S drivers/i2c/busses/i2c-designware.o > i2c-designware.s
调试
weixin_30684743的博客
11-30 492
重所周知,有破解就必有防破解,二者本为一体 破解技术就不要我多介绍了,下面我来介绍调试技术 也就是所谓的防破解技术 调试技术可以简单通俗的理解为:防止OD分析软件的技术,也就是调试技术 那么调试技术又有几种呢? 下面我介绍几种常用调试技术 首先声明,下面有一部分内容来源百度,若有喷子觉得恶心,请自觉删除 1. 最常用的便是调用windows API 那么 win...
嗨CE系列教程全套(入门,进阶,高阶)游戏驱动调试
热门推荐
编程论坛
08-20 1万+
嗨CE系列教程全套(入门,进阶,高阶)游戏驱动调试等 1.入门教程5课 1.如何修改游戏 2.快速找到基址和指针 3.通过一个地址快速找到其他地址 4.制作一个简易修改器 5.一些重要的小技巧和理论补充 2.进阶教程5课 1.修改汇编代码来实现作弊 2.不找指针直接使用...
红蓝攻防对抗中需要掌握的网络安全技术汇总
maoguan121的博客
10-13 1906
SafeSEH,(Safe Structured exception handling)是 Windows操作系统的一种安全机 制,专门用于防止异常处理函数被篡改,即在程序调用异常处理函数之前,对要调用的异常 处理函数进行一系列的有效性校验,如果发现异常处理函数不可靠或存在安全风险,则应立 即终止异常处理函数的调用。之,如果 SafeSEH机制设计不完善或存在缺欠,就有可能被 攻击者利用,欺骗或绕过。
AV(病毒)技术的演进与规律思索观后感
ClearLove的博客
08-09 2667
AV(病毒)技术的演进与规律思索观后感        首先老师给我们讲述了病毒的表现形式:计算机病毒是人为的编制的一种寄生性的计算机程序。它的危害主要表现为占用系统资源和破坏数据,具有寄生性、传染性、隐蔽性、潜伏性和破坏性。计算机病毒可按良性和恶性分,良性病毒是指只表现自己而不进行破坏的病毒。恶性病毒是指其目的在于人为的破坏计算机的数据、文档或删除硬盘上保存的全部文件。计算机病毒可以按系统型分...
软件测试的14种类型
w13632910369的博客
12-11 702
软件测试是指使用人工或者自动的手段来运行或测定某个软件产品系统的过程,其目的是在于检验是否满足规定的需求或者弄清预期的结果与实际结果的区别。本文主要描述软件测试的类型。  1 数据和数据库完整性测试  数据与数据库完整测试是指测试关系型数据库完整性原则以及数据合理性测试。   数据库完整性原则: 主码完整性(主码不能为空); 外码完整性(外码必须等于对应的主码或者为空)。   数据合理性:...
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
php调试,简单对抗某个驱动调试
weixin_36210213的博客
03-11 206
标 题: 【原创】简单对抗某个驱动调试作 者: ReturnsMe时 间: 2010-04-18,20:02:11链 接: http://bbs.pediy.com/showthread.php?t=111236先声明:1.本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。2.我是菜鸟,都是些基本内容。只是看网上很多人搞,又弄的很麻烦,正自...
调试调试
zhuhuibeishadiao
03-31 5661
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 753
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
内核两种调试方法
zhuhuibeishadiao
05-02 4219
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007
oracle调试,Win7 x86内核调试与TP调试的研究
weixin_39988331的博客
04-14 388
本文在Win7 x86下的分析,在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。0x01 内核调试全局变量根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数第一次调用KdInitSystem分别会初始化如下变量1.KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被...
游戏安全外挂-64驱动
douluo998的博客
03-05 540
/属性页->Driver Settings->Target Os Version : 设置版本 Windows 7 Windows 10任选。//属性页->Driver Settings->Target Os Version : 设置版本 Windows 7 Windows 10任选。//属性页->C / C+±>将警告视为错误 : 否 / WX -//属性页->C / C+±>将警告视为错误 : 否 / WX -//属性页->C / C+±>警告等级 : 等级3 / W3。
调试技术详解与实战
同时,文档也提及了调试技术,即如何对抗那些防止被调试的策略。文章强调了作者的学习过程和对原有资料的借鉴,并提供了部分实例和源代码。" 这篇文档详细介绍了多种调试技术,这些技术通常被用于保护软件免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值