0.ring0-更改dbgport地址偏移过掉dbgport清0

最新推荐文章于 2022-04-21 21:42:12 发布
最新推荐文章于 2022-04-21 21:42:12 发布
阅读量1k 收藏 1
点赞数 
正方案:
把 EPROCESS->DebugPort = NULL清零,这样调试器就无法接受到消息了,也就无法调试了

反方案:
以下的操作都可以写成一个script来操作.

debugport和哪些函数相关

1.首先打开一个calc.exe:
[cpp]  view plain  copy
  1. kd> !process 0 0 calc.exe  
  2. PROCESS 861a9020  SessionId: 0  Cid: 068c    Peb: 7ffdb000  ParentCid: 05c8  
  3.     DirBase: 0c9801a0  ObjectTable: e21cdd28  HandleCount:  44.  
  4.     Image: calc.exe  
查看下debugport的位置
[cpp]  view plain  copy
  1. kd> dt _EPROCESS -y DebugPort  861a9020    
  2. nt!_EPROCESS  
  3.    +0x0bc DebugPort : (null)   

这里看到偏移是0xbc

对它下内存读写断点:(r是表示读或写)

[cpp]  view plain  copy
  1. kd> ba r4 861a9020+0xbc  
  2. kd> bl  
  3.  0 e 861a90dc r 4 0001 (0001)   
2.g运行系统,虚拟机本地打开一个windbg,附加上calc.exe,这时系统肯定会断下来

[cpp]  view plain  copy
  1. kd> g  
  2. Breakpoint 0 hit  
  3. nt!DbgkpSetProcessDebugObject+0x5c:  
  4. 8063a8b2 7573            jne     nt!DbgkpSetProcessDebugObject+0xd1 (8063a927)  

第一个函数:DbgkpSetProcessDebugObject(注意edi+0BCh即debugport的位置,前面说了位置是0xbc),当调试器附加进程时设置DebugPort

[cpp]  view plain  copy
  1. kd> # bch nt!DbgkpSetProcessDebugObject   
  2. nt!DbgkpSetProcessDebugObject+0x56:  
  3. 8063a8ac 399fbc000000    cmp     dword ptr [edi+0BCh],ebx  

还有一处:

[cpp]  view plain  copy
  1. kd> # bch   
  2. nt!DbgkpSetProcessDebugObject+0x64:  
  3. 8063a8ba 8987bc000000    mov     dword ptr [edi+0BCh],eax  
第二个函数:DbgkpMarkProcessPeb (注意+0BCh即debugport的位置,前面说了位置是0xbc),当调试器附加进程时设置DebugPort

[cpp]  view plain  copy
  1. kd> # bch nt!DbgkpMarkProcessPeb  
  2. nt!DbgkpMarkProcessPeb+0x42:  
  3. 80639862 39bebc000000    cmp     dword ptr [esi+0BCh],edi  
第三个函数:DbgkCreateThread(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送线程或者进程创建的调试信息
[cpp]  view plain  copy
  1. kd> # bch nt!DbgkCreateThread   
  2. nt!DbgkCreateThread+0x125:  
  3. 8063b0d7 399ebc000000    cmp     dword ptr [esi+0BCh],ebx  
第四个函数:DbgkpQueueMessage(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息

[cpp]  view plain  copy
  1. kd> # bch nt!DbgkpQueueMessage   
  2. nt!DbgkpQueueMessage+0x7b:  
  3. 80639b8d 8b80bc000000    mov     eax,dword ptr [eax+0BCh]  
第五个函数:KiDispatchException(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息

[cpp]  view plain  copy
  1. kd> # bch nt!KiDispatchException   
  2. nt!KiDispatchException+0x187:  
  3. 804fdac5 39b8bc000000    cmp     dword ptr [eax+0BCh],edi  
第六个函数:DbgkForwardException(注意+0BCh即debugport的位置,前面说了位置是0xbc),发送异常调试信息

[cpp]  view plain  copy
  1. kd> # bch nt!KiDispatchException   
  2. nt!KiDispatchException+0x187:  
  3. 804fdac5 39b8bc000000    cmp     dword ptr [eax+0BCh],edi  
第七个函数:PspExitThread(注意+0BCh即debugport的位置,前面说了位置是0xbc), 发送线程退出、进程退出的调试信息

[cpp]  view plain  copy
  1. kd> # bch nt!PspExitThread   
  2. nt!PspExitThread+0x286:  
  3. 805c9554 399fbc000000    cmp     dword ptr [edi+0BCh],ebx  
第八个函数:DbgkExitThread(注意+0BCh即debugport的位置,前面说了位置是0xbc), 发送线程退出、进程退出的调试信息

[cpp]  view plain  copy
  1. kd> # bch nt!DbgkExitThread   
  2. nt!DbgkExitThread+0x20:  
  3. 8063b370 8b89bc000000    mov     ecx,dword ptr [ecx+0BCh]  
第九个函数:PspCreateProcess(注意+0BCh即debugport的位置,前面说了位置是0xbc),进程创建,设置DebugPort

[cpp]  view plain  copy
  1. kd> # bch nt!PspCreateProcess  
  2. nt!PspCreateProcess+0x1a9:  
  3. 805c7c35 8983bc000000    mov     dword ptr [ebx+0BCh],eax  

统计了下:

函数如下:

    PspCreateProcess、MmCreatePeb 进程创建,设置DebugPort
    DbgkCreateThread 发送线程或者进程创建的调试信息
    KiDispatchException、DbgkForwardException和DbgkpQueueMessage 发送异常调试信息
    PspExitThread、DbgkExitThread和DbgkExitProcess 发送线程退出、进程退出的调试信息
    DbgkMapViewOfSection和DbgkUnMapViewOfSection 发送映像装载卸载调试信息
    DbgkpSetProcessDebugObject和DbgkpMarkProcessPeb 当调试器附加进程时设置DebugPort   

 2.替换地址
           mov     ecx,dword ptr [ecx+0BCh] //0xBCh就是DebugPort的偏移
          我们可以把DebugPort转移到_EPROCESS的另外一个地方使用+0×070 CreateTime,它是纪录进程创建时间的,进程创建之后,在进程退出前系统不会对它进行任何修改,而且我们修改后对系统或进程没有任何影响。我们可以把上面的所有的代码改成这样
          mov     ecx,dword ptr [ecx+070h] //指向CreateTime,实际的DebugPort已经被移到这里
     只需要修改一个字节,非常简单

kingswb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 1741
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
6.ring0-更改dbgport地址偏移过掉dbgport0
hgy413的专栏
07-26 2434
正方案: 把 EPROCESS->DebugPort = NULL零,这样调试器就无法接受到消息了,也就无法调试了 反方案: 以下的操作都可以写成一个script来操作. debugport和哪些函数相关 1.首先打开一个calc.exe: kd> !process 0 0 calc.exe PROCESS 861a9020 SessionId: 0 Cid: 068c
围观tp驱动保护。详解debugport0
kingswb的博客
06-11 2696
标 题: 围观tp驱动保护。详解debugport0 作 者: 诶一 时 间: 2012-08-25,22:15:56 链 接: http://bbs.pediy.com/showthread.php?t=155139 刚毕业,找工作的时候郁闷中,还没找到理想的工作,刚好回到家又没什么事情,就研究下tp保护,闲闲散散的也搞了2个星期了。索性弄好了也就发篇文章了,求个精华阿,第一个精华
过TP保护的DebugPort零,科普一下
ccx_john的专栏
01-08 4792
我们知道,DebugPort位于EPROCESS这个结构体中   不知道啊?去幼儿园向小朋友问   我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样   可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS   这个不多介绍,详情去网上搜   另外,DNF.exe会调用NtOpenProcess进行反调试检测   那么我们不浪费,就地取材,从这里开始入手
绕过DebugPort零自建调试体系
haodawei123的博客
03-16 3005
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
winring0.zip_WinRing0.dll_c++ WinRing0_ring 0_winrin_winring
07-15
API RING 0级调用,是一个非常好的例子,我真的是佩服了!
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
SSDT.rar_ring0_ssdt
09-22
城里城外看SSDT,ring3与ring0之间
任意用户模式下执行 ring 0 代码.rar_ring_ring 0
09-21
任意用户模式下执行 ring 0 代码 转载
180310 逆向-反调试技术(3)DebugObject
whklhhhh的博客
03-23 717
1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】 A. 反调试技术(3) B. DebugObject 之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的 调试器与被调试程序建立关系有两种途径 在创建进程时设置DEBUG_PROCESS 调用DebugActiveP...
R3暴力枚举驱动 易语言源码
04-21
R3暴力枚举驱动 易语言源码 R3的权限,可以枚举全部的加载的驱动
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2110
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
WRK中全部访问DebugPort的函数总汇
创造神话,实现梦想!
07-09 1380
KiDispatchException        //1处    NtQueryInformationProcess      //1处    PspCreateProcess        //1处    PsGetProcessDebugPort      //1处    PsIsProcessBeingDebugged      //1处    NtTerminateProce
来自看雪的手把手调试DebugPort
liujiayu2的专栏
06-30 3324
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 0,倒是难倒了我。。。 所谓DebugPort 0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 1924
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
中断和异常
u012138730的专栏
05-10 3010
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Windows SEH学习 x86
weixin_30519071的博客
07-19 265
windows提供的异常处理机制实际上只是一个简单的框架。我们通常所用的异常处理(比如C++的throw、try、catch)都是编译器在系统提供的异常处理机制上进行加工了的增强版本。这里先抛开增强版的不提,先说原始版本。 原始版本的机制很简单:谁都可以触发异常,谁都可以处理异常(只要它能看得见)。但是不管是触发还是处理都得先注册。系统把这些注册信息保存在一个链表里,并...
DebugAPI 调试?
小喂的专栏
05-04 1872
利用 DebugAPI 调试程序时,系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpPr
swift-ring-builder account.builder add --region 1 --zone 1 --ip 192.168.200.20 --port 6202 --device sdc --weight 100
最新发布
06-03
这是一个在OpenStack Swift中创建一个新的账户的命令,其中: - `swift-ring-builder` 是创建和修改 Swift ring 的命令。 - `account.builder` 是使用的 ring 文件的名称。 - `add` 是该命令的操作,用于将新的设备添加到环中。 - `--region 1` 表示将此设备添加到的区域编号。 - `--zone 1` 表示将此设备添加到的可用区编号。 - `--ip 192.168.200.20` 表示此设备的 IP 地址。 - `--port 6202` 表示此设备的端口号。 - `--device sdc` 表示此设备的设备名称。 - `--weight 100` 表示此设备的权重值。 所以这个命令的意思是:将 IP 为 192.168.200.20,端口号为 6202,设备名称为 sdc,权重值为 100 的设备添加到区域编号为 1,可用区编号为 1 的 Swift 环中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值