内核两种反调试方法

最新推荐文章于 2021-05-25 21:03:54 发布
最新推荐文章于 2021-05-25 21:03:54 发布
阅读量4.1k 收藏 6
点赞数 1
分类专栏: 驱动学习 反调试反反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51293096
版权

当然方法很多,比如TP的全局调试权限,DebugPort

下面只是我发现的比较好玩的

文章首发在mengwuji.net


知己知彼,百战百胜.
比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess 
 
默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回   0xc0000712错误码
我们对它进行修改 修改成1
 
改完我们dt一下 看下是否改成功了
 
这个时候 打开PCH会看到显示此进程拒绝访问 以前是只要SSDT HOOK了就显示拒绝
现在是修改这个位
我们用Windbg附加会提示
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核调试插件
03-08
AA调试 内核调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
内核调试
liuhaidon1992的博客
01-08 1306
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
调试调试
kernweak的博客
05-23 445
调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
android 多线程调试,64位内核开发第五讲,调试调试
weixin_39628070的博客
05-25 112
调试调试一丶调试的几种方法1.DebugPort端口清零debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了也就是说你不能单步了.等相关调试操作了.如果做调试.开启一个线程.不断的对这个DebugPort进行清零.进而进行调试.思路:1.找到当前进程的EPROCESS结构2...
刷boot.img内核防止调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过调试 3、提供了需要用到的工具和源码
C++无检测内核注入纯源码.zip
06-07
1. **内核模式与用户模式**:了解Windows操作系统的这两种执行模式。内核模式拥有最高权限,可以访问所有系统资源,而用户模式下的进程则受到更多的限制。 2. **驱动开发**:学习编写设备驱动程序,这是进行内核...
一种基于匹配字符串地址判定ARM固件装载基址的方法.pdf
09-21
本文提出了一种新颖的自动化方法,通过匹配字符串地址来确定ARM固件的装载基址。该方法基于对固件内部字符串存储规律和LDR指令的深入理解,通过DBMAS算法实现了高效且准确的装载基址判定。这对于嵌入式系统和固件的...
Windows内核实验教程.rar
04-27
1. **内核模式与用户模式**:理解两种模式的区别,以及它们如何影响代码的执行权限和安全性。 2. **系统调用**:学习如何使用系统调用来执行内核级别的操作,例如读写内存、创建线程等。 3. **内存管理**:深入...
Windows内核安全驱动开发(随书光盘)
08-02
8.5.7 打开两种键盘端口驱动寻找设备 131 8.5.8 搜索在KbdClass类驱动中的地址 133 8.6 Hook键盘中断过滤 135 8.6.1 中断:IRQ和INT 136 8.6.2 如何修改IDT 136 8.6.3 替换IDT中的跳转地址 137 8.6.4 QQ的PS...
内核驱动汇编调试
qq160816的专栏
05-25 1332
<br />arm-none-linux-gnueabi-objdump -D -S drivers/i2c/busses/i2c-designware.o > i2c-designware.s
StrongOD:StrongOD(调试插件)驱动程序源代码-windows source code
03-25
强OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试器检测技术。 这是StrongOD驱动程序的源代码,我几年前已将其转,有关更多信息,请访问: : 。 原谅我不是很好的编码风格。 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android的调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试,Android逆向必备
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动及驱动注册回调,可过TP双击调试
简单对抗某个驱动的调试
kingswb的博客
04-18 3257
标 题: 【原创】简单对抗某个驱动的调试 作 者: ReturnsMe 时 间: 2010-04-18,20:02:11 链 接: http://bbs.pediy.com/showthread.php?t=111236 先声明: 1.  本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。 2.我是菜鸟,都是些基本内容。只是看网
Android逆向之旅---应用的"调试"方案解析(附加修改IDA调试端口和修改内核信息)
mergerly的专栏
02-22 506
一、前言在前一篇文章中详细介绍了Android现阶段可以采用的几种调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段调试策略主要包括以下几种方式:第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)!第二、签名校...
php调试,简单对抗某个驱动的调试
weixin_36210213的博客
03-11 190
标 题: 【原创】简单对抗某个驱动的调试作 者: ReturnsMe时 间: 2010-04-18,20:02:11链 接: http://bbs.pediy.com/showthread.php?t=111236先声明:1.本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。2.我是菜鸟,都是些基本内容。只是看网上很多人搞,又弄的很麻烦,正自...
调试调试
zhuhuibeishadiao
03-31 5601
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
ptrace 调试
weixin_30355437的博客
12-30 524
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
MySQL内核调试_内核调试技巧
最新发布
05-25
MySQL 内核调试是一项非常复杂的任务,需要深入了解 MySQL 的内部实现,并掌握一系列调试技巧。以下是一些常用的 MySQL 内核调试技巧: 1. 使用 gdb 调试器:gdb 是 Linux 系统下的一个强大的调试器,可以用来调试 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值