[原创]小技巧大用处，让WINDBG跑起来-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]小技巧大用处，让WINDBG跑起来

发表于: 2010-11-23 21:39 36986

[原创]小技巧大用处，让WINDBG跑起来

crazyearl

2010-11-23 21:39

36986

今天和大家分享一个小心得，想必很多高手已经玩腻了~飘过吧！
最近接触了不少游戏保护，它们或多或少的都有一个特制就是在被调试机上运行游戏以后调试机上的WINDBG就接受不到信息了。起初我也困惑的很，而且在驱动当中设置int 3断点会蓝屏。后来在一个应用程序中添加了
__asm int 3这个应用程序就崩溃了。得到结论它们都是用了KdDisableDebugger函数来禁止操作系统调试了。想对应的有一个函数是KdEnableDebugger 可以允许调试，但是很多游戏仍然很操蛋。及时你使用了KdEnableDebugger 也无法调试，它们都是不停的禁止调试。
有一天我躺在床上思考，与其利用IDA分析它们的逻辑还不如直接对操作系统进行阉割算了。
假设我们系统上的KdDisableDebugger函数彻底失效了，那么任何人调用也就不可能禁用调试模式了吧。说干就干，首先在MSDN上找到了KdDisableDebugger函数的定义

NTSTATUS KdDisableDebugger(void);

看到这个函数定义以后欣喜若狂，隐约有一种感觉告诉我。我的设想完全可以实现的
首先它没有参数，在堆栈的控制上非常容易处理。其次它有一个返回值，也就是说执行的成功与否肯定有一个值来说明。
果然在下面看到它的返回值说明，执行成功则返回STATUS_SUCCESS。还有2个分别是权限不够和调试端口不存在。我们假设不管谁调用了KdDisableDebugger这个函数我们都在函数的起始处返回STATUS_SUCCESS(根据DDK中ntstatus.h的定义这个值是0)，不就废除了这个函数的功能了吗。
在WINDBG里面先看一下这个函数的反汇编情况

这就足够了。下面贴上代码，大家就会一目了然了。代码的逻辑也非常简单
就不用多费口舌了

#define	FAILED_TO_OBTAIN_FUNCTION_ADDRESSES	0x00000001	//获取函数地址失败
//////////////////////////////////////////////////////////////////////
//	名称:	MyGetFunAddress
//	功能:	获取函数地址
//	参数:	函数名称字符串指针
//	返回:	函数地址
//////////////////////////////////////////////////////////////////////
ULONG MyGetFunAddress( IN PCWSTR FunctionName)
{
	UNICODE_STRING UniCodeFunctionName;
	RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
	return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );   
}
//执行卸载
VOID	DriverUnload(IN PDRIVER_OBJECT	pDriverObject)
{
	
	KdPrint(("Enter DriverUnload\n"));
}
//////////////////////////////////////////////////////////////////////
//	名称:	WPOFF
//	功能:	清除CR0
//	参数:	
//	返回:	
//////////////////////////////////////////////////////////////////////
VOID WPOFF()
{
	__asm
	{
		cli
			mov eax,cr0
			and eax,not 10000h
			mov cr0,eax
	}
}

//////////////////////////////////////////////////////////////////////
//	名称:	WPON
//	功能:	恢复CR0
//	参数:	
//	返回:	
//////////////////////////////////////////////////////////////////////
VOID WPON()
{
	__asm
	{
		mov eax,cr0
			or eax,10000h
			mov cr0,eax
			sti
	}
}
//////////////////////////////////////////////////////////////////////
//	名称:	MyHook_KdDisableDebugger
//	功能:	修改KdDisableDebugger函数起始处导致所有的调用者都返回0
//	参数:	无
//	返回:	状态
//////////////////////////////////////////////////////////////////////
NTSTATUS MyHook_KdDisableDebugger()
{
	KIRQL	Irql;
	BYTE	*KdDisableDebuggerAddress = NULL;
	BYTE	No1Code[2] = {0x33,0xc0};	//xor eax,eax 这句汇编语句的机器码
	BYTE	No2Code[1] = {0xc3};		//retn 的机器码

	//获取KdDisableDebugger地址
	KdDisableDebuggerAddress	= (BYTE*)MyGetFunAddress(L"KdDisableDebugger");
	if (KdDisableDebuggerAddress == NULL)
		return	FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
	//KdPrint(("%0X\n\n",KdDisableDebuggerAddress));
	WPOFF();	//清除CR0
	//提升IRQL中断级
	Irql=KeRaiseIrqlToDpcLevel();
	//写入
	RtlCopyMemory(KdDisableDebuggerAddress,No1Code,2);
	RtlCopyMemory(KdDisableDebuggerAddress+2,No2Code,1);
	//恢复Irql
	KeLowerIrql(Irql);
	WPON();		//恢复CR0

	return	STATUS_SUCCESS;
}
//////////////////////////////////////////////////////////////////////
//	名称:	DriverEntry
//	功能:	入口函数
//	参数:	DriverObject:驱动对象
//			RegistryPath:设备服务键名称(注册表)
//	返回:	状态
//////////////////////////////////////////////////////////////////////
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
{
	NTSTATUS status;
	//设置卸载函数
	DriverObject->DriverUnload = DriverUnload;

	status = MyHook_KdDisableDebugger();
	if (status == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
		KdPrint(("获取函数地址失败!\n\n"));

	//status = KdDisableDebugger();
	//KdPrint(("======%0X\n",(ULONG)status));
	
	return STATUS_SUCCESS;
}

执行完毕以后效果如下

大家可以将入口函数当中被注释的两行代码开启，测试说明虽然禁止调试失败，但是仍然返回0了
我觉得过不了多久，很多游戏的保护程序就应该判断很多函数的头部是否被HOOK了。
但是斗争依然继续着，升级着……

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

1.jpg （27.92kb，2485次下载）
2.jpg （22.69kb，2487次下载）

收藏・61

免费・7

支持

最新回复 (41) 1 2 ▶
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼 TAG:kdDisableDebugger HOOK 游戏 2010-11-23 21:47 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 3 楼膜拜支持 2010-11-23 22:25 0
magicman 雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	magicman 4 楼很强的思路,学习一下... 2010-11-23 22:38 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 5 楼一直是直接在windbg中用ed KdDisableDebugger c3 的飘过…… 2010-11-23 22:45 0
crazyearl 雪币： 439 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 80 关注私信	crazyearl 2 6 楼 “简约时尚”受教了。 2010-11-23 22:48 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 7 楼谢谢分享~~ 2010-11-23 23:57 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 8 楼最近在学这个，受教了 2010-11-23 23:58 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 9 楼我觉得过不了多久，很多游戏的保护程序就应该判断很多函数的头部是否被HOOK了。但是斗争依然继续着，升级着…… 搜索所有调用KdDisableDebugger的位置CALL 全部HOOK jmp 到自己驱动处理！ 2010-11-24 04:27 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 10 楼 TAG:kdDisableDebugger HOOK 游戏 2010-11-24 12:19 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 11 楼学习了。5字 2010-11-24 12:50 0
猥琐菜鸟雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 94 粉丝 0 关注私信	猥琐菜鸟 12 楼谢谢...有用 2010-11-24 12:53 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 13 楼谢谢分享 2010-11-26 12:55 0
金罡雪币： 1534 活跃值： (738) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 362 粉丝 88 关注私信	金罡 2 14 楼谢谢分享 2010-11-26 13:03 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 15 楼学习这个！ 2010-12-15 08:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 16 楼我可以很负责的告诉你……有些游戏，咳咳，具体我就不点名批评了你直接返回STATUS_SUCCESS是木有用的，而且电脑会瞬间卡死~因为我之前也这么做的再则，如果你直接返回STATUS_ACCESS_DENIED或者STATUS_DEBUGGER_INACTIVE，OK，不会卡死，但会卡得你半死最后还有一种，将KdDisableDebugger嫁接到KdEnableDebugger，虚拟机还能动，但是，会灰常卡还有一种，让它成功调用KdDisableDebugger之后，再调用KdEnableDebugger，好吧，这和上一种方法木有区别的。同样，很卡，灰常tmd的卡我电脑虽然配置不行，但是，此游戏正常和非正常调用KdDisableDebugger的两种情况下，电脑的速度区别是灰常明显的原因嘛……俺们群里大部分人认为是死循环，为什么会产生死循环，我也不知道，IDA没看出来= = 但是12分的和这个变量有关，KdDebuggerEnabled，但是IDA我还是没找到的说~~ OK……就这么多，打酱油路过，继续纠结去了 =。 = 你要是解决了，告诉我一下哈……偷偷的告诉你，是DNF那个孙子游戏 = = 2011-3-5 16:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼解释一下这句是什么意思？在windbg中用ed KdDisableDebugger c3 2011-3-5 16:56 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 18 楼 c3=ret 就是在函数头直接ret = = 木用 2011-3-5 17:04 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼 ed是什么意思？ 3q 2011-3-5 19:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 20 楼 ed= enter data windbg的一条命令罢了，你F1看看就知道咯~= = 2011-3-5 19:51 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 21 楼谢谢分享，看完很有收获 2011-3-5 23:23 0
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 22 楼我的做法是直接修改下EAT，保护驱动启动前把KdDebuggerEnabled改到别的地方，这样保护驱动的KdDebuggerEnabled位置就是我修改后的地方，随便他怎么清零了 2011-4-7 12:21 0
nowhy 雪币： 21 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	nowhy 23 楼 - - ``卡死还是卡半死?? 附加调用个延时函数就不卡了- -....嘻嘻嘻嘻.... 2011-4-7 12:52 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 24 楼在windbg中用ed KdDisableDebugger c3 这句话啥意思？ 2011-4-26 22:48 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 25 楼 18楼有解释不过我现在用LZ的方法和这种，在GPK下无效，TP启动后机器卡到死。。。不知道是哪做的不对？ 2011-4-27 02:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

crazyearl

发帖

102

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (41) 1 2 ▶
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼 TAG:kdDisableDebugger HOOK 游戏 2010-11-23 21:47 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 3 楼膜拜支持 2010-11-23 22:25 0
magicman 雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	magicman 4 楼很强的思路,学习一下... 2010-11-23 22:38 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 5 楼一直是直接在windbg中用ed KdDisableDebugger c3 的飘过…… 2010-11-23 22:45 0
crazyearl 雪币： 439 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 80 关注私信	crazyearl 2 6 楼 “简约时尚”受教了。 2010-11-23 22:48 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 7 楼谢谢分享~~ 2010-11-23 23:57 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 8 楼最近在学这个，受教了 2010-11-23 23:58 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 9 楼我觉得过不了多久，很多游戏的保护程序就应该判断很多函数的头部是否被HOOK了。但是斗争依然继续着，升级着…… 搜索所有调用KdDisableDebugger的位置CALL 全部HOOK jmp 到自己驱动处理！ 2010-11-24 04:27 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 10 楼 TAG:kdDisableDebugger HOOK 游戏 2010-11-24 12:19 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 11 楼学习了。5字 2010-11-24 12:50 0
猥琐菜鸟雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 94 粉丝 0 关注私信	猥琐菜鸟 12 楼谢谢...有用 2010-11-24 12:53 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 13 楼谢谢分享 2010-11-26 12:55 0
金罡雪币： 1534 活跃值： (738) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 362 粉丝 88 关注私信	金罡 2 14 楼谢谢分享 2010-11-26 13:03 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 15 楼学习这个！ 2010-12-15 08:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 16 楼我可以很负责的告诉你……有些游戏，咳咳，具体我就不点名批评了你直接返回STATUS_SUCCESS是木有用的，而且电脑会瞬间卡死~因为我之前也这么做的再则，如果你直接返回STATUS_ACCESS_DENIED或者STATUS_DEBUGGER_INACTIVE，OK，不会卡死，但会卡得你半死最后还有一种，将KdDisableDebugger嫁接到KdEnableDebugger，虚拟机还能动，但是，会灰常卡还有一种，让它成功调用KdDisableDebugger之后，再调用KdEnableDebugger，好吧，这和上一种方法木有区别的。同样，很卡，灰常tmd的卡我电脑虽然配置不行，但是，此游戏正常和非正常调用KdDisableDebugger的两种情况下，电脑的速度区别是灰常明显的原因嘛……俺们群里大部分人认为是死循环，为什么会产生死循环，我也不知道，IDA没看出来= = 但是12分的和这个变量有关，KdDebuggerEnabled，但是IDA我还是没找到的说~~ OK……就这么多，打酱油路过，继续纠结去了 =。 = 你要是解决了，告诉我一下哈……偷偷的告诉你，是DNF那个孙子游戏 = = 2011-3-5 16:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼解释一下这句是什么意思？在windbg中用ed KdDisableDebugger c3 2011-3-5 16:56 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 18 楼 c3=ret 就是在函数头直接ret = = 木用 2011-3-5 17:04 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼 ed是什么意思？ 3q 2011-3-5 19:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 20 楼 ed= enter data windbg的一条命令罢了，你F1看看就知道咯~= = 2011-3-5 19:51 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 21 楼谢谢分享，看完很有收获 2011-3-5 23:23 0
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 22 楼我的做法是直接修改下EAT，保护驱动启动前把KdDebuggerEnabled改到别的地方，这样保护驱动的KdDebuggerEnabled位置就是我修改后的地方，随便他怎么清零了 2011-4-7 12:21 0
nowhy 雪币： 21 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	nowhy 23 楼 - - ``卡死还是卡半死?? 附加调用个延时函数就不卡了- -....嘻嘻嘻嘻.... 2011-4-7 12:52 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 24 楼在windbg中用ed KdDisableDebugger c3 这句话啥意思？ 2011-4-26 22:48 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 25 楼 18楼有解释不过我现在用LZ的方法和这种，在GPK下无效，TP启动后机器卡到死。。。不知道是哪做的不对？ 2011-4-27 02:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复