KdDisableDebugger()反调试

最新推荐文章于 2023-07-07 10:43:12 发布
最新推荐文章于 2023-07-07 10:43:12 发布
阅读量335 收藏
点赞数
分类专栏: 反调试 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanqiuai/article/details/120025003
版权

NTSTATUS KdDisableDebugger();
剥离内核调试器成功,返回 STATUS_SUCCESS
如果并没有内核调试器,返回STATUS_DEBUGGER_INACTIVE
如果内核调试器处于阻塞状态返回STATUS_ACCESS_DENIED
KdDisableDebugger函数会判断一个全局变量,当系统不是在调试下启动时,该值为1,在调试下启动时该值被置0,且该值只在操作系统启动时被初始化了一次(推测),当该值为0时,KdDisableDebugger会调用相关函数使内核调试器与操作系统分离,该全局变量仅作为一个标识
反调试

#include <ntddk.h>
#pragma warning(disable:4100)
#define DELAY_ONE_MICROSECOND 	(-10)
#define DELAY_ONE_MILLISECOND	(DELAY_ONE_MICROSECOND*1000)
BOOLEAN g_bExit = FALSE;
PVOID pThreadObj = NULL;
VOID MySleep(LONG msec);
VOID CheckDebug(PVOID pContext);
NTSTATUS CreateThread();
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{

    KdPrint(("驱动正在被关闭\n"));
    g_bExit = TRUE;
    if (pThreadObj!=NULL)
    {
        //等待对象
        KeWaitForSingleObject(pThreadObj,
            Executive,
            KernelMode,
            FALSE,
            NULL);
        //因为使用了 ObRefrenceObjceByHandle.所以引用对象+1了.现在需要引用对象-1
        ObDereferenceObject(pThreadObj);
    }
    // 卸载驱动
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path)
{
    DbgPrint("驱动正在被启动\n");
    NTSTATUS ntStatus = 0;
    ntStatus = CreateThread();
    //指定卸载函数
    pDriver->DriverUnload = DriverUnload;
    return ntStatus;
}
//==================================================================
//函数名: MySleep
//功能:睡眠函数,类似于三环的sleep()  
//输入参数1:msec,睡眠的时间,单位秒
//返回值:null
//==================================================================
VOID MySleep(LONG msec)
{
    LARGE_INTEGER my_interval;
    my_interval.QuadPart = DELAY_ONE_MILLISECOND;
    my_interval.QuadPart *= msec;
    KeDelayExecutionThread(KernelMode, 0, &my_interval);
}
VOID CheckDebug(PVOID pContext)
{
    while (1)
    {
        DbgPrint("执行KdDisableDebugger()...\n");
        KdDisableDebugger();
        MySleep(2000);
        if (g_bExit == TRUE)
            break;
    }
    PsTerminateSystemThread(STATUS_SUCCESS);
}
NTSTATUS CreateThread()
{
    //创建线程
    HANDLE hThread;
    NTSTATUS ntStatus;
    ntStatus = PsCreateSystemThread(&hThread,
        THREAD_ALL_ACCESS,
        NULL,
        (HANDLE)0,
        NULL,
        CheckDebug,    //你创建函数的回调地址
        NULL);          //给你创建函数传递的参数值
    //等待线程创建完毕.
    if (!NT_SUCCESS(ntStatus))
        return ntStatus;
    //判断IRQL 降低权限
    if (KeGetCurrentIrql() != PASSIVE_LEVEL)
        ntStatus = KfRaiseIrql(PASSIVE_LEVEL);

    ntStatus = ObReferenceObjectByHandle(hThread,
        THREAD_ALL_ACCESS,
        NULL,
        KernelMode,
        &pThreadObj,
        NULL);
    if (!NT_SUCCESS(ntStatus))
        return ntStatus;
    //关闭线程句柄
    ZwClose(hThread);
    return ntStatus;
}

反反调试
将此全局变量重新置为1
用到的相关结构体

#ifdef _WIN64
typedef struct _LDR_DATA
{
	LIST_ENTRY listEntry;
	ULONG64 __Undefined1;
	ULONG64 __Undefined2;
	ULONG64 __Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING path;
	UNICODE_STRING name;
	ULONG   Flags;
}LDR_DATA, * PLDR_DATA;
#else
typedef struct _LDR_DATA
{
	LIST_ENTRY listEntry;
	ULONG unknown1;
	ULONG unknown2;
	ULONG unknown3;
	ULONG unknown4;
	ULONG unknown5;
	ULONG unknown6;
	ULONG unknown7;
	UNICODE_STRING path;
	UNICODE_STRING name;
	ULONG   Flags;
}LDR_DATA, * PLDR_DATA;
#endif

用到的相关函数

/*
* --------------------------------函数声明
*/
UINT64 SearchFeature(UINT64 nAddr, char* pFeature, int nLeng, UINT64 size);
UINT64 GetDriverAddressByFeature(LPCWSTR DriverName, PDRIVER_OBJECT  pDriverObject, char* pFeature, int nLeng);
/*
* --------------------------------函数声明
*/

详情

//==================================================================
//函数名: GetDriverAddressByFeature
//功能:搜索指定内核模块的特征码,并获取该特征码的位置
//输入参数1:DriverName,要搜索的驱动模块名
//输入参数2:pDriverObject,自己的驱动对象
//输入参数3:pFeature,特征码
//输入参数4:nLeng,特征码的长度
//返回值:UINT64,特征码的地址
//==================================================================
UINT64 GetDriverAddressByFeature(LPCWSTR DriverName, PDRIVER_OBJECT  pDriverObject, char* pFeature, int nLeng)
{
	PLDR_DATA CurrentDllInfo = (PLDR_DATA)pDriverObject->DriverSection; 
	PLDR_DATA DllInfoTemp = CurrentDllInfo;
	UNICODE_STRING uniDriverName;
	UINT64 dllBase = 0;
	UINT64 dllSize = 0;
	RtlInitUnicodeString(&uniDriverName, DriverName);
	do
	{
		DllInfoTemp = (PLDR_DATA)(DllInfoTemp->listEntry.Flink);   //先查询下一个
		//wcscmp()会蓝屏,尽量使用内核提供的字符串函数
		if (RtlCompareUnicodeString(&uniDriverName,&DllInfoTemp->name,TRUE)==0)
		{
			DbgPrint("Driver Module Name=%ws\n", DllInfoTemp->name.Buffer);
			DbgPrint("Driver Module Dllbase=%p\n", DllInfoTemp->DllBase);
			dllBase = DllInfoTemp->DllBase;
			dllSize = DllInfoTemp->SizeOfImage;
		}
	} while (CurrentDllInfo != DllInfoTemp);    //遍历到当前驱动LDR_DATA_TABLE_ENTRY地址时,说明查询结束
	//没找到目标驱动模块
	if (dllBase == 0)
		return FALSE;
	return SearchFeature(dllBase, pFeature, nLeng, dllSize);
}

//==================================================================
//函数名: SearchFeature
//描述:内部函数
//==================================================================
UINT64 SearchFeature(UINT64 nAddr, char* pFeature, int nLeng, UINT64 size)
{
	char szStatus[256] = "";
	INT64 i = size;

	while (i--)
	{
		RtlMoveMemory(szStatus, (char*)nAddr, nLeng);

		if (RtlCompareMemory(pFeature, szStatus, nLeng) == nLeng)
		{
			return nAddr;
		}
		nAddr++;
	}

	return 0;
}
sanqiuai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调试调试
m0_55875295的博客
05-27 475
1.DebugPort 2.KdDisableDebugger, 禁用内核调试 KdEnableDeu
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1353
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
[调试 r0] KdDisableDebugger
墨鱼菜鸡
04-16 129
原理 这是微软提供的一个 api , KdDisableDebugger 例程禁用内核调试器。 NTSTATUSKdDisableDebugger(); 应用 直接调用这个 api 可以让 windbg 与被...
调试调试
kernweak的博客
05-23 434
调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
Anti Anti Windbg
weixin_34163553的博客
09-07 123
今天和大家分享一个小心得,想必很多高手已经玩腻了~飘过吧!最近接触了不少游戏保护,它们或多或少的都有一个特制就是在被调试机上运行游戏以后调试机上的WINDBG就接受不到信息了。起初我也困惑的很,而且在驱动当中设置int 3断点会蓝屏。后来在一个应用程序中添加了__asm int 3这个应用程序就崩溃了。得到结论它们都是用了KdDisableDebugger函数来...
计算机病毒对消息钩子的利用与对抗
weixin_34204057的博客
10-17 167
作 者: dncwbc 时 间: 2011-10-07,23:57:15 链 接: http://bbs.pediy.com/showthread.php?t=141059 一、消息钩子的概念 1、基本概念 Windows应用程序是基于消息驱动的,任何线程只要注册窗口类都会有一个消息队列用于接收用户输入的消息和系统消息。为了拦截消息,Windows...
Windows下调试技术汇总
03-03 1651
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
简单介绍 调试
Misaka10046的博客
04-04 494
DebugPort KdDisableDebugger 禁用内核调试 IsDebuggerPresent/CheckRemoteDebuggerPresent Hook HOOK一些与调试相关的函数 NtOpenThread:防止调试器在程序内部创建线程 NtOpenProcess:防止OD等调试工具在进程列表中看到 KIAttachProcess:防止被附加上 NtReadVirtualMemory:防止被读内存 NtWriteVirtualMemory:防止内存被写 KdReceivePacket:K
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1546
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
由一道CTF对10种调试的探究
0xDQ的博客
04-23 1898
0x00 前言 最近做的有些ctf中总是出现一些动态调试的情况。由次对一些常见的动态调试进行一些总结。 参考文章: https://blog.csdn.net/hgy413/article/details/7996652https://blog.csdn.net/yiyefangzhou24/article/details/6242459https://www.52pojie.cn/th...
vista debug
avder的专栏
06-10 1379
debugprint e nt!Kd_DEFAULT_Mask 8 ----------------------------------------------1: kd> x nt!*debug*81cfddc0 nt!ExpDebuggerWorkItem = 81c5536f nt!DbgSetDebugPrintCallback = 81cfddb0 nt!ExpDebuggerProce
android libc 有哪些函数_[原创]编译libc.so过time函数调试
weixin_42261100的博客
02-22 857
根据论坛各位大神的文章,了解了Android的各种调试机制, 如tracerpid, time.其中的tracepid, 大神们说可以通过修改源码重新编译内核实现Anti调试.在我的Nexus 7平板上, 根据百度来的教程, 修改了linux内核源码后体验了一下, 可以过掉这种调试.那么本着娱乐的精神, 对于time()函数的调试, 能不能用编译源码的方式解决一下?首先, time()函数...
调试调试相关学习记录
最新发布
qq_45844442的博客
07-07 168
除了以上的方式外,修改EPROCESS的flags或者_OBJECT_HEADER中的Flags等等,各种方法其实本质就是对整个系统中所出现调试状态与非调试状态的区别,然后加以利用判断出其是非调试还是调试状态。
调试技术揭秘(转)
weixin_33935505的博客
03-04 494
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
调试技术(1) 函数检测
jentle8的博客
10-04 1377
什么是调试 调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
KdDebuggerEnabled,kdDisableDebugger
goooglec的专栏
03-05 2105
判断是否有内核调试器在调试, 如果有调试器,则断开 ; 如果没有,则直接返回 IsKernelDebugger proc near                     jmp   short L2 L1:                                  call    KdDisableDebugger L2:         mov     edx, ds
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 3万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值