看流星社区

 找回密码
 注册账号
查看: 3301|回复: 5

x64 antidebug 不触发PG 补充代码

[复制链接]

该用户从未签到

发表于 2016-7-13 09:43:10 | 显示全部楼层 |阅读模式

先说antiantidebug
都知道 32位的驱动保护  不用VT说白了就是 HOOK过来 HOOK过去  比的是谁的 钩子深  谁的 钩子更多~~~~
然而 64位呢 很多保护 例如TP/HP/HS 基本就是驱动几个callbacks 应用层 几个钩子 反调试  模拟一场等等    我的 PASS方法呢 例如TP钩子 KIuserdispatcherException 这个 钩子的恢复方法 直接恢复 或者挂钩 游戏会秒掉 因为他自己处理了自己的异常,但是实际 他里面并没有用到检测硬件断点~~~HOOK 方式 过滤异常是他的就跳到他里面 提前计算他的钩子函数 ,不是就自己处理~~(HOOK注意堆栈和标志位)   
其他的就是干线程和忽略 模拟异常了  忽略模拟异常的方式 HOOK OD WaitDebugEvent 过滤000400..07.....随便改一个 然后OK~~~~

最后ANTIDEBUG  ~~~
X64没PASS pg 也没用VT技术的   比较难防御~!~~
枚举所有进程(EPROCESS链) 枚举句柄表 所有句柄项 法相TPYEININDEX为11(win7)的直接 抹掉句柄 当然得正常一点儿的抹掉先设置属性可关闭等等最后  KISTACKattachprocess NTclose(TA的 代码里面有) 出现的效果就是 没法调试了~~ 代码我实现了  没网 所以就不发了 等有网了发把~~
还可以这样阻止搜索内存 打开进程~~~~

放出源码:

购买主题 本主题需向作者支付 30 流星币 才能浏览

该用户从未签到

发表于 2016-7-26 08:29:31 | 显示全部楼层

我就是来看看~么么哒~~

该用户从未签到

发表于 2018-12-24 19:27:57 | 显示全部楼层
66666666666666666666

该用户从未签到

发表于 2018-12-24 19:28:48 | 显示全部楼层
00000000000000000000000000000000000

该用户从未签到

发表于 2018-12-24 19:29:09 | 显示全部楼层
0000000000000000000000

该用户从未签到

发表于 2018-12-24 19:29:47 | 显示全部楼层
00000000000000000000
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 19:03

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表