WRK中全部访问DebugPort的函数总汇。

最新推荐文章于 2024-05-18 10:46:19 发布
最新推荐文章于 2024-05-18 10:46:19 发布
阅读量1.2k 收藏
点赞数
分类专栏: 知识点 文章标签: object cmd string c
 
KiDispatchException        //1处
NtQueryInformationProcess      //1处
PspCreateProcess        //1处
PsGetProcessDebugPort      //1处
PsIsProcessBeingDebugged      //1处
NtTerminateProcess        //1处
PspTerminateProcess      //1处
PspExitThread        //1处
PspProcessDelete        //3处
ObpCloseHandleTableEntry      //1处
ObpCloseHandle        //1处
MmCreatePeb        //1处
DbgkCreateThread        //1处
DbgkExitThread        //1处
DbgkExitProcess        //1处
DbgkMapViewOfSection      //1处
DbgkUnMapViewOfSection      //1处
DbgkpMarkProcessPeb      //1处
DbgkpCloseObject        //3处
DbgkCopyProcessDebugPort      //4处
DbgkOpenProcessDebugPort      //2处
DbgkpQueueMessage        //1处
DbgkClearProcessDebugObject      //2处
DbgkpSetProcessDebugObject      //4处
DbgkForwardException      //1处
 
 
对于自己通过偏移定位,清零怎么搞?? 调换EPROCESS中DebugPort和CreateTime位置,更改访问DebugPort各函数相关位置的偏移呗。
 

.386
.model flat, stdcall
option casemap:none

include dnf_hook.inc

.const
Dspdo_1 equ 80643db6h
Dmpp_1 equ 80642d5eh
Dmpp_2 equ 80642d64h
Dct_1 equ 806445d3h
Dqm_1 equ 80643089h
Kde_1 equ 804ff5fdh
Dfe_1 equ 80644340h
Pcp_1 equ 805d1a0dh
Mcp_1 equ 805b0c06h
Mcp_2 equ 805b0d7fh
Dmvos_1 equ 8064497fh
Dumvos_1 equ 80644a45h
Pet_1 equ 805d32f8h
Det_1 equ 8064486ch
Dep_1 equ 806448e6h

.code
;还原自己的Hook
DriverUnload proc pDriverObject:PDRIVER_OBJECT
  ret 
DriverUnload endp

ModifyFuncAboutDbg proc addrOdFunc, cmd_1, cmd_2
  pushad
  mov  ebx, addrOdFunc
  mov  eax, cmd_1
  mov   DWORD ptr [ebx], eax
  mov  eax, cmd_2
  mov   DWORD ptr [ebx + 4], eax
  popad
  ret
ModifyFuncAboutDbg endp

DriverEntry proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
  cli
        mov   eax, cr0
        and   eax, not 10000h
        mov   cr0, eax
       
  invoke ModifyFuncAboutDbg, Dspdo_1, 90784789h, 0fde89090h
  invoke ModifyFuncAboutDbg, Dmpp_1, 90787e39h, 950f9090h
  invoke ModifyFuncAboutDbg, Dct_1, 90785e39h, 840f9090h
  invoke ModifyFuncAboutDbg, Dqm_1, 9078408bh, 45899090h
  invoke ModifyFuncAboutDbg, Kde_1, 90787839h, 13749090h
  invoke ModifyFuncAboutDbg, Dfe_1, 9078418bh, 0d2329090h
  invoke ModifyFuncAboutDbg, Pcp_1, 90784389h, 45f69090h
  invoke ModifyFuncAboutDbg, Mcp_1, 90785e39h, 950f9090h
  invoke ModifyFuncAboutDbg, Mcp_2, 90784a89h, 5e399090h
  invoke ModifyFuncAboutDbg, Dmvos_1, 9078498bh, 0cb3b9090h
  invoke ModifyFuncAboutDbg, Dumvos_1, 00787983h, 74909090h
  invoke ModifyFuncAboutDbg, Pet_1, 00787f83h, 74909090h
  invoke ModifyFuncAboutDbg, Det_1, 9078498bh, 0c9859090h
  invoke ModifyFuncAboutDbg, Dep_1, 9078498bh, 0c9859090h
  ;invoke ModifyFuncAboutDbg, Dmpp_2, 8bc0950fh, 8b90c032h
 
  mov  eax, pDriverObject
  assume   eax : ptr DRIVER_OBJECT
  mov   [eax].DriverUnload, offset DriverUnload
  assume   eax : nothing
 
  mov  eax, cr0
        or  eax, 10000h
        mov   cr0, eax
        sti
       
        mov  eax, STATUS_SUCCESS
     ret
DriverEntry endp

yeook
关注
专栏目录
断和异常
u012138730的专栏
05-10 3106
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
修改WRK源码躲过DebugPort清零
04-04
TP DebugPort清零
WRK全部访问DebugPort函数总汇
创造神话,实现梦想!
07-09 1388
KiDispatchException        //1处    NtQueryInformationProcess      //1处    PspCreateProcess        //1处    PsGetProcessDebugPort      //1处    PsIsProcessBeingDebugged      //1处    NtTerminateProce
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 1997
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
来自看雪的手把手调试DebugPort清零
liujiayu2的专栏
06-30 3383
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
PsGetProcessPeb and PsGetProcessWow64Process internals
huanongying131的博客
01-06 3319
转:https://malwaretips.com/threads/psgetprocesspeb-and-psgetprocesswow64process-internals.86482/   PsGetProcessPeb and PsGetProcessWow64Process internalsDisclaimer ​ This content is presented solely...
wrk-v1.2.zip
05-14
WRK 不仅仅只提供了 Windows 内核模块的部分代码,其还提供了编译工具, 也就是通过这个编译工具,你可以将你的 WRK 编译成一个 EXE 文件, 也就是内核可执行模块,然后你可以利用这个 EXE 文件来取代操作...
压力测试工具wrk在centos7,ubuntu18,20,wsl-ubuntu18,20的二进制包
08-10
1. **并发连接数**:wrk可以设置并发连接数,模拟多个用户同时访问服务器,以此来测试服务器在高负载下的表现。 2. **请求速率**:wrk可以设置每秒发送的请求数,以此评估服务器处理请求的速度。 3. **运行时间**:...
wrk.zip 压测工具wrk 下载
12-10
在本文,我们将深入探讨wrk的特性、安装、使用方法以及其在压力测试的应用。 ### 一、wrk的特点 1. **事件驱动**:wrk基于Nginx的epoll事件模型,这使得它在处理大量并发连接时表现出色。 2. **LuaJIT集成**:...
性能测试工具wrk-4.1.0-linux
03-17
**wrk工具详解** wrk是一款高性能的HTTP基准测试工具,...总的来说,wrk-4.1.0是评估Web服务器性能的强大工具,尤其在Linux环境,通过其灵活的配置和强大的Lua脚本支持,能够为开发者和运维人员提供深入的性能洞察。
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2212
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。
YoungBoz的专栏
04-17 4490
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
第9章 用户态调试模型
weixin_30680385的博客
01-04 131
采集调试信息作用:为了获取到与调试有关的系统动作,内核部分会调用子系统公开的一系列函数,让调试器得到通知和处理的机会. 这些函数以DbgK开头.(不是Dbgkp,p代表内部过程). 消息常量 代码 typedefenum_DBGKM_APINUMBER{DbgKmException=0;//异常DbgKmC...
天堂W游戏内核驱动保护简单分析(三)
最新发布
jian274622701的博客
05-18 699
思路1: Hook这个函数将第一个参数设置为explorer.exe, 函数就会把游戏进程的DebugObject对象转移到Explorer->Process->DebugPort, 就算游戏保护对游戏进程的DebugPort清零,也不会影响我们调试 思路2: 处理NTCreateDebugObject, 采用Hook ObCreateObject函数判断上层调用者是否是NTCreateDebugObject, 如果是,则将参数里的DebugObject备份保存 思路3: 需要修改偏移的函数
模仿腾讯实现内核进程的调试端口DebugPort 清零
M-先生
09-24 2677
模仿腾讯实现内核进程的调试端口DebugPort 清零 最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。 在公司xp  sp3的系统上测试了成功,OD下断点失效或报错。 --------------------------------------------------------
寻找调用DebugPort函数
whatday的专栏
11-09 2915
打开虚拟机,打开一个程序。如 LoadSys.exe 之后本机打开Windbg通过串行端口连接虚拟机。 lkd->!process 0 0 LoadSys.exe 得到LoadSys.exe 的EPROCESS地址如。0x87654321 lkd->ba r4 0x87654321+0xec (WIN7上DebugPort 偏移为 0xec,可以通过lkd->dt nt!_
浅谈一下驱动开发的硬编码
cqyczj的专栏
04-18 2237
链 接: http://bbs.pediy.com/showthread.php?t=142463 驱动开发硬编码是比较烦人的,不仅让别人看起来不怎么专业,自己看着心里也疙疙瘩瘩的不舒服 最常见的就是对于EPROCESS结构ImageFileName的定位,不同系统下这个域的偏移是不同的, 常见做法就是得到EPROCESS之后根据系统的不同来加上不同的偏移, 或者也有在PsIn
反调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 335
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值