- 注册时间
- 2011-3-6
- 最后登录
- 1970-1-1
该用户从未签到
|
当然方法很多,比如TP的全局调试权限,DebugPort
下面只是我发现的比较好玩的
文章首发在mengwuji.net
知己知彼,百战百胜.
比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess
默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回0xc0000712错误码
我们对它进行修改 修改成1
改完我们dt一下 看下是否改成功了
这个时候 打开PCH会看到显示此进程拒绝访问 以前是只要SSDT HOOK了就显示拒绝
现在是修改这个位
我们用Windbg附加会提示
用OD直接看不到进程.
2.当附加进程的时候
bgkpPostFakeThreadMessages 这个函数会遍历目标进程的线程
里面有一个判断 判断ETHREAD->CrossThreadFlags的第二位是否为0
0x448 CrossThreadFlags : Uint4B
+0x448 Terminated : Pos 0, 1 Bit
+0x448 ThreadInserted : Pos 1, 1 Bit
+0x448 HideFromDebugger : Pos 2, 1 Bit
+0x448 ActiveImpersonationInfo : Pos 3, 1 Bit
+0x448 Reserved : Pos 4, 1 Bit
+0x448 HardErrorsAreDisabled : Pos 5, 1 Bit
+0x448 BreakOnTermination : Pos 6, 1 Bit
+0x448 SkipCreationMsg: Pos 7, 1 Bit
+0x448 SkipTerminationMsg : Pos 8, 1 Bit
+0x448 CopyTokenOnOpen: Pos 9, 1 Bit
+0x448 ThreadIoPriority : Pos 10, 3 Bits
+0x448 ThreadPagePriority : Pos 13, 3 Bits
+0x448 RundownFail : Pos 16, 1 Bit
+0x448 NeedsWorkingSetAging : Pos 17, 1 Bit
+0x44c SameThreadPassiveFlags : Uint4B
+0x44c ActiveExWorker : Pos 0, 1 Bit
+0x44c ExWorkerCanWaitUser : Pos 1, 1 Bit
+0x44c MemoryMaker : Pos 2, 1 Bit
+0x44c ClonedThread : Pos 3, 1 Bit
+0x44c KeyedEventInUse: Pos 4, 1 Bit
+0x44c RateApcState : Pos 5, 2 Bits
+0x44c SelfTerminate : Pos 7, 1 Bit
如果为0则会返回错误.
修改方法同上.
有时候会出现偏移不是0x43c的情况 这个时候改了就没有效果 也就是flags2 为0x7ff的时候 这个时候此方法是失效的,可能是开了什么东西造成的..
有知道的小伙伴可以交流下
<dl class="tattl attm" style="word-wrap:break-word; margin:0px; padding:10px 10px 10px 0px; float:none; overflow:visible; width:1645px; height:auto">
<dt style="word-wrap:break-word; float:left; width:0px; font-weight:700"><dd style="word-wrap:break-word; margin:0px; padding:0px; color:rgb(153,153,153)">
5.jpg(207.87
KB, 下载次数: 0)
</dl> |
|