03 使用DebugPort 清零实现反调试

已于 2023-05-09 09:35:32 修改
阅读量221 收藏 1
点赞数
分类专栏: 进程&线程 文章标签: windows
于 2023-05-09 09:28:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130572865
版权

驱动代码

#include <ntifs.h>
#include <wdm.h>
#include <ntddk.h>


//操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用
#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define SHOW CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)


//设备对象
PDEVICE_OBJECT devObj;
//符号链接
UNICODE_STRING symbolLink;

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);

//进程调试端口地址
PULONG DebugPort = NULL;
HANDLE hThread;
BOOLEAN flag = 1;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{

	//删除符号链接
	IoDeleteSymbolicLink(&symbolLink);
	//删除设备
	IoDeleteDevice(devObj);
	DbgPrint("卸载成功!!!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	try {
		//unload
		pDriver->DriverUnload = DriverUnload;

	
		//创建设备和3环通信
		UNICODE_STRING deviceName;
		RtlInitUnicodeString(&deviceName,L"\\Device\\firstDevice");
		NTSTATUS status = IoCreateDevice(
			pDriver,
			0,
			&deviceName,
			FILE_DEVICE_UNKNOWN,
			FILE_DEVICE_SECURE_OPEN,
			FALSE,
			&devObj
		);

		DbgPrint("创建设备 : %d~~\n", status);
		

		//创建符号链接 (3环需要这个符号链接才可以找到)
		RtlInitUnicodeString(&symbolLink,L"\\??\\MYKILLTOOL");
		IoCreateSymbolicLink(&symbolLink,&deviceName);

		//设置通信方式
		pDriver->Flags |= DO_BUFFERED_IO;

		//设置派遣函数
		pDriver->MajorFunction[IRP_MJ_CREATE] = DEVICE_CREATE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_CLOSE] = DEVICE_CLOSE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DEVICE_CONTROL_Dispatch;


	} __except(EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error~~\n");
		return STATUS_SUCCESS;
	}
	return STATUS_SUCCESS;
}

VOID HideThread(_In_ PVOID StartContext)
{
	while (flag)
	{
		//不断将端口改为0
		*DebugPort = 0;
	}
}

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	//从3环获取的PROCESS ID
	UINT32 DATA;
	NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
	//获取PIRP的数据
	PIO_STACK_LOCATION psLocation = IoGetCurrentIrpStackLocation(pIrp);
	//获取控制码
	ULONG code = psLocation->Parameters.DeviceIoControl.IoControlCode;
	//获取缓冲区地址(输入和输出都是同一个)
	PVOID bufferAddress = pIrp->AssociatedIrp.SystemBuffer;
	//3环发送的数据字节数
	ULONG threeLength = psLocation->Parameters.DeviceIoControl.InputBufferLength;
	//0环发送的数据字节数
	ULONG zeroLength = psLocation->Parameters.DeviceIoControl.OutputBufferLength;
	//PEPROCESS
	PETHREAD peprocess;

	switch (code) 
	{
	case HIDE:
		RtlMoveMemory(&DATA, bufferAddress,4);
		if (PsLookupProcessByProcessId((HANDLE)DATA,&peprocess) == STATUS_SUCCESS) //通过PID获取EPROCESS的地址
		{
			DbgPrint("PID : %d ,目前 EPROCESS 地址为:%08x\n", DATA, peprocess);

			DebugPort = (ULONG*)((ULONG)peprocess + 0xbc);

			//创建线程
			PsCreateSystemThread(&hThread, GENERIC_ALL, NULL, NULL, NULL, HideThread, NULL);
	
			DbgPrint("执行成功!!!");
			break;
		}
		else
		{
			status = STATUS_INVALID_HANDLE;
		}
		break;
	case SHOW:
		flag = 0;
		break;
	default:
		break;
	}


	DbgPrint("3环发送的数据长度 %d~~\n", threeLength);
	DbgPrint("0环发送的数据长度 %d~~\n", zeroLength);

	//设置返回状态,默认是失败的哦
	pIrp->IoStatus.Status = status;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;

}


NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CREATE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}


NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CLOSE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

3环代码

#include "stdafx.h"
#include <windows.h>
#include <winioctl.h>
#include <stdlib.h>

#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define SHOW CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define SYMBOL_LINK_NAME L"\\\\.\\MYKILLTOOL"

int main(int argc, char* argv[])
{
	//创建设备
	//create device link
	HANDLE h_device = CreateFileW(
		SYMBOL_LINK_NAME,//创建或打开的文件或设备的名称
		GENERIC_READ | GENERIC_WRITE,//请求对文件或设备的访问权限
		0,//文件或设备请求的共享模式,参数为零且 CreateFile 成功,则文件或设备无法共享,并且无法在文件或设备的句柄关闭之前再次打开
		0,//确定返回的句柄是否可以由子进程继承
		OPEN_EXISTING,//仅当文件或设备存在时,才打开该文件或设备
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (h_device == INVALID_HANDLE_VALUE)
	{
		printf("访问驱动符号链接失败!\n");
		system("pause");
		return 0;
	}

	DWORD pid;
	DWORD outBuffer;
	DWORD lbret = 0;

	printf("请输入需要反调试的进程的PID : \n");
	scanf("%d",&pid);

	if (DeviceIoControl(h_device,HIDE,&pid,sizeof(DWORD),&outBuffer,sizeof(outBuffer),&lbret,NULL))
	{
		printf("hide process %08x success , please test......\n",pid);
	}

	system("pause");

	if (DeviceIoControl(h_device,SHOW,&pid,sizeof(DWORD),&outBuffer,sizeof(outBuffer),&lbret,NULL))
	{
		printf("show process %08x success , please test......\n",pid);
	}

	system("pause");
	CloseHandle(h_device);
	return 0;
}
柠檬的泪是酸的@
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Intellij idea远程debug连接tomcat实现单步调试
08-27
使用 IntelliJ IDEA 远程 debug 连接 Tomcat 实现单步调试可以带来许多优点,例如可以远程 debug 连接 Tomcat 服务器,实时地检查变量的值和状态,快速地找到程序的错误,也可以对程序进行逐步调试,检查每一行代码...
修改WRK源码躲过DebugPort清零
04-04
在本文中,我们将深入探讨一个特定的议题:“修改WRK源码躲过DebugPort清零”,这是一个针对TP DebugPort的技巧,适用于那些希望在调试过程中保持DebugPort设置不变的开发者。首先,我们需要理解什么是DebugPort以及...
过TP保护的DebugPort清零,科普一下
ccx_john的专栏
01-08 4795
我们知道,DebugPort位于EPROCESS这个结构体中   不知道啊?去幼儿园向小朋友问   我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样   可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS   这个不多介绍,详情去网上搜   另外,DNF.exe会调用NtOpenProcess进行调试检测   那么我们不浪费,就地取材,从这里开始入手
DebugPort
Keep Walking
02-29 853
http://bbs.pediy.com/showthread.php?t=80971
[调试 r0] DebugPort 端口清零
LYSM
04-16 861
原理 debugport 是在 EPROCESS 结构中的.调试时间会通过 DebugPor t端口将调试事件发送给 ring3 进行调试的.如果设置为0.则 ring3 就无法进行调试了。 这是我随便找的一个系统下的 _eprocess 结构 kd> !strct eprocess !strct eprocess struct _EPROCESS (sizeof=648) +000 struct _KPROCESS Pcb +000 struct _DISPATCHER_HEADER Header
模仿腾讯实现内核进程的调试端口DebugPort 清零
M-先生
09-24 2673
模仿腾讯实现内核进程的调试端口DebugPort 清零 最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。 在公司xp  sp3的系统上测试了成功,OD下断点失效或报错。 --------------------------------------------------------
DebugPort 清0
weixin_30455023的博客
08-10 304
1.首先找到该进程的EPROCESS结构的址在WinDbg命令行输入!process00得到EPROCESS结构的址lkd>!process00****NTACTIVEPROCESSDUMP****PROCESS84648268SessionId:0Cid:0344Peb:7ffd7000ParentCid:02f4Dir...
Tomcat使用IDEA远程Debug调试的讲解
08-26
本文主要介绍了如何使用集成开发环境IntelliJ IDEA (IDEA)进行远程Debug调试Tomcat服务器,这对于解决线上问题和优化代码效率非常有帮助。以下是详细的步骤和注意事项: 首先,我们需在Tomcat的运行环境中进行配置...
PHP使用debug_backtrace方法跟踪调试代码调用详解
10-18
主要介绍了PHP使用debug_backtrace方法跟踪调试代码调用,结合实例形式详细分析了debug_backtrace函数的功能、参数、使用方法及相关操作注意事项,需要的朋友可以参考下
eclipse离线插件compiler编译jar包进行debug调试
08-23
本文将详细介绍如何利用Eclipse离线插件compiler进行编译jar包并进行debug调试。 首先,我们需要了解什么是编译。编译是将已编译的二进制代码(如.class或.jar文件)转换回源代码的过程。这对于没有源码的库...
驱动保护(三方木马).7z
07-20
易语言驱动保护模块可过362和三方木马! ce od都无法查看内存,附上简单调用例子
【讨论】白菜 DebugPort 全分析收集 加研究日记
gold0523的专栏
04-27 2196
标 题: 【讨论】白菜 DebugPort 全分析收集 加研究日记 作 者: 紫雨心梦 时 间: 2011-04-14,10:34:00 链 接: http://bbs.pediy.com/showthread.php?t=132340 现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 E
清空 _EPROCESS 结构体中的 DebugPort实现进程无法被附加调试
walker的博客
03-07 662
简介 在内核 _EPROCESS 中有一个 DebugPort 成员,该成员中存储的是一个内核调试对象地址。当调试器附加进程调试时,操作系统会在内核中创建一个调试对象,并将调试对象的地址写入对应被调试进程的 _EPROCESS 结构体中的 DebugPort 成员中,用于实现调试器与被调试进程之间建立联系。而清空该地址时,调试器将会与被调试进程之间失去关联,即无法继续调试该进程。 如果调试器重复多次发起调试请求,操作系统将会重复将调试对象的地址写入被调试进程。如果只将 DebugPort 清空一次,依然会
Hide your DebugPort in ring0
gold0523的专栏
04-16 1424
一个进程被ring3调试调试时,有得多的调试特征可以检测,但有个非常基础的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.DebugPortDebugPort对于ring3调试器来讲非常重要,没有它正常的ring3调试是无法运行的。当然要检测这个标记的条件是程序能够读取ring0内存,在XP以上的系统有个非常简单的方法就是使用ZwSystemDebugControl的SysDbgReadVirtualMemory方法,我们也可以map physicalmemory来操纵。检测
寻找调用DebugPort的函数
whatday的专栏
11-09 2906
打开虚拟机,打开一个程序。如 LoadSys.exe 之后本机打开Windbg通过串行端口连接虚拟机。 lkd->!process 0 0 LoadSys.exe 得到LoadSys.exe 的EPROCESS地址如。0x87654321 lkd->ba r4 0x87654321+0xec (WIN7上DebugPort 偏移为 0xec,可以通过lkd->dt nt!_
来自看雪的手把手调试DebugPort清零
liujiayu2的专栏
06-30 3341
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
为什么DebugPort清零,windbg就收不到这个进程的调试信息了。转的。
yishenbiao的专栏
07-22 709
if (FirstChance) { /* Make sure a debugger is present, and ignore user-mode if requested */ if ((KiDebugRoutine) && (!(PsGetCurrentProcess()->DebugPort))) { /* Call the debugger */ if (K
PP保护5:中断与DebugPort
netword12345的专栏
03-06 716
PP保护会处理中断1与中断3,试了一早上恢复中断表,结果都是重启,于是改成跳转,在PP保护的中断上写个jmp,跳到系统的中断处理上,就可以了. 先要找对代码的检测,在这个位置,找到它NOP掉就行了: 然后写跳转: PP保护还对进程结构体的DebugPort做了检测,如果发现不为零,也重启,我找到了它存放EPROCESS->DebugPort的偏移,把这个值改成EPROCESS->ExitTim
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值