搜尋


返回清單
切換到指定樓層
通知這文章過時或找檔案 發表主題

[其他] 【調試和反調試技術】KdDebuggerEnabled清零

[複製連結]
1
SheepKingCN ( Lv.80 論壇達人 ) 發表於 2013-9-2 04:29:35 | 只看該作者 回覆獎勵 |降序瀏覽 |閱讀模式
  1. 此為本人SheepKingCN學習用,學術用途。
複製代碼

KdDebuggerEnabled清零
KdDebuggerEnabled清零,可以相当有效的防止内核调试,如果对KdDebuggerEnabled下硬件断点,根本就无效,双机调试时,根本就启动不了,跟死机一样,后来网上查到是原来是因为:总是系统的KeUpdateSystemTime和KdPollBreakIn例程在读取
方法好几种:
    1、IAT HOOK ——对加壳了的驱动,一般无效,原因是处理了输入表,要分析壳处理输入表的方法,很费时间,放弃
    2、EAT HOOK——对于不通过MmGetSystemRoutineAddress来获取内核函数地址的驱动,效果不明显,还有就是有些是通过分析磁盘PE找EAT的,那样就要用到感染的方法,LordPE是个不错的工具,可以用这个直接改了,注意要是改了必须记得调整VSize,
    3、ZwCreateSection——通过此函数来找到内核基址,然后定位查找,还有什么能加载内核文件ntkrnlpa.exe,ZwMapViewOfSection在内核下映射文件
    4、PsCreateSystemThread——创建内核线程,用来循环清零,循环里可以用KeDelayExecutionThread定时清零








大家正在看啥


收藏收藏 分享文章到FB上分享
回覆 使用道具 檢舉
複製專屬你的推廣連結:發至FB與各論壇宣傳:累積點數換GP商品 & 藍鑽
每五點閱率就可以兌換藍鑽積分或遊戲點卡 夢遊推廣文章換GP商品

你需要登入後才可以回覆 登入 | 加入會員

本版積分規則

Copyright (C) 2010-2020 夢遊電玩論壇

廣告合作:請直接聯繫我們,並附上您預刊登位置的預算。  

快速回覆 返回頂端 返回清單