学习自建调试体系(四)

最新推荐文章于 2023-01-11 15:00:16 发布
最新推荐文章于 2023-01-11 15:00:16 发布
阅读量315 收藏 2
点赞数 1
原文链接:http://www.cnblogs.com/Lnju/p/5414231.html
版权

这部分ring3和ring0通信,感觉也是实用的套路,先总结大致思路:

  1. hook NtTerminateProcess函数
  2. 有TerminateProcess请求到来时,判断参数二是否为固定常数(密钥),不是的话走原函数调用
  3. 如果参数二是约定好的密钥,参数一作为约定好的结构指针
  4. 读取ring3传来的数据,读取数据,执行约定函数

SSDT hook

NTSTATUS DbgObjHookNtTerminateProcess()
{
    PULONG  Address;
    PVOID Temp;

    if ((ULONG)OldNtTerminateProcess)       //static变量初始化0 
    {
        return STATUS_UNSUCCESSFUL;
    }

    //
    // 在SSDT表中获取到NtTerminateProcess的地址
    //

    Address = (PULONG)((ULONG)KeServiceDescriptorTable->ntoskrnl.ServiceTable +
        257 * 4);

    //原函数 and 替换函数
    OldNtTerminateProcess = (PZWTERMINATEPROCESS)* Address;
    Temp = &NewNtTerminateProcess;

    //
    // 改写SSDT表中NtTerminateProcess的地址
    //

    //自己封装的MoveMemory函数
    SafeCopyMemory(Address, &Temp, sizeof(PVOID));

    KdPrint(("Ddvp-> 旧NtTerminateProcess地址: %p, 新的NtTerminateProcess地址: %p \n",
        OldNtTerminateProcess, &NewNtTerminateProcess));

    return STATUS_SUCCESS;

}

钩子函数

NTSTATUS
NewNtTerminateProcess(
HANDLE   hProcess,
NTSTATUS ExitStatus
)
{
    NTSTATUS Status;
    BUFFER_LOCK InBufferLock;
    BUFFER_LOCK OutBufferLock;
    SYSTEM_CALL  SysCall;

    //typedef struct tagSystemCall
    //{
    //  int Number;
    //  PVOID lpInBuffer;
    //  ULONG ulInBufferSize;
    //  PVOID lpOutBuffer;
    //  ULONG ulOutBufferSize;
    //}SYSTEM_CALL, *PSYSTEM_CALL;

    PEPROCESS Process = PsGetCurrentProcess();

    //
    // 如果调用过来的是用户态, 并且Key也相同
    //
    if ((ExGetPreviousMode() == UserMode) && (ExitStatus == 0x750C530D))
    {
        Status = STATUS_UNSUCCESSFUL;
        InBufferLock.lpData = NULL;
        OutBufferLock.lpData = NULL;

        do
        {
            __try
            {
                //
                // 检查用户模式缓冲区是否正确对齐.注意是用户模式缓冲区
                //
              
              /hProcess作为pSysCall解释
                ProbeForRead(hProcess, sizeof(SYSTEM_CALL), 1);

                //
                // 复制 一个 syscall结构过来
                //
                fastcpy(&SysCall, hProcess, sizeof(SYSTEM_CALL));
            }
            __except (EXCEPTION_EXECUTE_HANDLER)
            {
                Status = GetExceptionCode();
                break;
            }

            //
            // 参数判断
            //
            if ((SysCall.Number > SC_MAX) ||
                (SysCall.ulInBufferSize  > SC_DAT_LIMIT) ||
                (SysCall.ulOutBufferSize > SC_DAT_LIMIT))
            {
                KdPrint(("Ddvp-> NewNtTerminateProcess Buffer 有问题 \n"));
                break;
            }

            //
            // 如果输入缓冲区不为NULL, 那么锁定输入缓冲区
            //
            if (SysCall.lpInBuffer != NULL)
            {
                if (DbgLockBuffer(&InBufferLock, SysCall.lpInBuffer, SysCall.ulInBufferSize) == 0)
                {
                    KdPrint(("Ddvp-> NewNtTerminateProcess In Buffer Lock Error! \n"));
                    break;
                }

                SysCall.lpInBuffer = InBufferLock.lpData;
            }

            //
            // 如果输出缓冲区不为NULL, 那么锁定输入缓冲区
            //
            if (SysCall.lpOutBuffer != NULL)
            {
                if (DbgLockBuffer(&OutBufferLock, SysCall.lpOutBuffer, SysCall.ulOutBufferSize) == 0)
                {
                    KdPrint(("Ddvp-> NewNtTerminateProcess Out Buffer Lock Error! \n"));
                    break;
                }

                SysCall.lpOutBuffer = OutBufferLock.lpData;
            }

            //
            // 执行约定的函数,哪个函数,什么通信数据都在SysCall结构中
            //
            if (NT_SUCCESS(SysCallTable[SysCall.Number](&SysCall)))
            {
                Status = STATUS_SUCCESS;
            }
        } while (0);

        if (InBufferLock.lpData != NULL)
        {
            DbgUnLockBuffer(&InBufferLock);
        }

        if (OutBufferLock.lpData != NULL)
        {
            DbgUnLockBuffer(&OutBufferLock);
        }
    }
    //---------------------------------------------------------------------------
    else
    {
            Status = OldNtTerminateProcess(hProcess, ExitStatus);
    }

    return Status;
}

转载于:https://www.cnblogs.com/Lnju/p/5414231.html

weixin_30263073
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自建调试体系_
09-29
基于VT技术的自建调试体系框架
学习自建调试体系(五)
weixin_30471065的博客
04-20 386
重载内核 具体代码有点长,记下思路备查。大致思路: NT内核从磁盘装载到内存 重定位 修复导入表 修正内核SSDT 删除PE头 接下来hook kifastcallEntry函数,用的方法也和之前的重载内核那篇代码分析的方法一致,就不分析了。 转载于:https://www.cnblogs.com/Lnju/p/5414730.html...
学习自建调试体系(三)
weixin_30551947的博客
04-20 411
这部分是讲释放在OD插件中的资源文件,也就是一个驱动,然后安装驱动、卸载驱动的过程。主要关注点放在安装、卸载者部分代码上。 安装、启动服务 总结大致步骤如下: 获得服务控制管理器句柄(OpenSCManager) 获得服务句柄(CreateService) 如果CreateService失败,使用OpenService再次获得服务句柄 StartService // // 安装服务 // BO...
createDebug_内核逆向_自建调试体系_
10-01
自建调试体系
绕过DebugPort清零自建调试体系
haodawei123的博客
03-16 2999
g_DebugPort是个全局变量通过NtCreateDebugObject来创建,在进程的回调句柄里面,然后将
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel ...
学习arm的 入门资料~
05-25
- 嵌入式ICE调试:内建的调试技术简化了系统设计和调试过程。 - 微处理器:ARM710系列、ARM940T和920T系列以及StrongARM系列,各具特色,满足不同应用场景的需求,如手持设备、汽车引擎管理、安全系统等。 3. ARM...
程序员面试刷题的书哪个好-JSAdvance:JavaScript进阶知识汇总byyaLv
07-07
笔者还是一个菜鸟小白,但是在诸多年的学习中,已经深刻发现架建知识体系结构是多么的重要,不管什么学科,不管什么阶段的学习,搭建知识体系都是很重要。 我们开发软件,也会有软件的生命周期,这就是一个开发软件...
某综合交通枢纽工程PPP项目投融资建设项目项目标书(117页).doc
05-25
3.3与比选人自建项目的施工配合方案 234 3.3.1施工配合内容 234 3.3.2施工配合措施 234 3.4竣工验收配合方案 235 3.4.1竣工验收配合方案 235 3.4.2设计、承包商、监理、比选人等关系的协调方案 238
单片机原理及应用课程标准(2).doc
02-27
提炼 ,总结,把原有学科体系下的基本内容进行知识的解构,选择适当的载体,经过教学设 计,对其进行重构,形成基于单片机应用产品的典型工作过程来设计和开发学习情境, 做到每一个学习情境的实施都是一个完整的...
ApexDebug_apex反调试源码_apexdebug_自建调试_
10-03
apex反调试源码。。驱动级反调试自建调试体系
XjunDbg调试
10-08
OD动态调试器过检测个人版本,xiaojun大牛个人版调试
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
学习自建调试体系(二)
weixin_30553837的博客
04-20 559
目录 获取模块信息 NtQuerySystemInformation RtlMoveMemory 枚举符号 SymInitialize SymLoadModule64 SymEnumSymbolsW 回调函数Enum...
C语言建造自己的调试信息系统
老五的作坊
01-04 459
BCM SDK输出错误信息的方法   1: soc_cm_debug(DK_ERR, ("Port %s: soc_link_fwd_set failed: %s\n SOC_PORT_NAME(unit, port), bcm_errmsg(rv)));   DK_ERR: 可以这样设置, 全局静态变量 my_debug 可以设置标志位,不同级别的调试信息。如下: #define D
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 1698
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
各位同学都是怎么开发调试系统应用的
android 系统定制开发那些事
04-06 1151
系统应用在android studio上运行调试
WIN10 驱动开发环境从0搭建 (内含调试程序下载 驱动开发必看)
张公子的博客
11-08 848
本文记录如何配置一个可使用的驱动开发环境。
自实现API, 过所有用户层HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1678
//绕过用户层HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
怎么去入门学习SRIO驱动调试
最新发布
05-26
SRIO(Serial RapidIO)是一种高速串行互联协议,通常用于连接高性能处理器、FPGA和其他设备。如果你想学习 SRIO 驱动调试,可以按照以下步骤: 1. 学习 Linux 驱动开发基础知识,包括字符设备驱动、内核模块加载和卸载、设备文件等。 2. 了解 SRIO 协议的基本原理和工作方式,包括 SRIO 拓扑结构、数据传输方式等。 3. 学习 SRIO 驱动编写,可以参考 SRIO 驱动源码和文档,理解其实现原理和代码逻辑。 4. 掌握调试工具,如 printk、kdb、kgdb、GDB 等,用于驱动调试和故障排除。 5. 实践调试,通过编写测试程序和模拟数据传输等方式,验证驱动的正确性和稳定性。 总的来说,学习 SRIO 驱动调试需要具备一定的 Linux 驱动开发基础和硬件知识。建议首先学习 Linux 驱动开发基础知识,然后再深入学习 SRIO 驱动编写和调试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值