[求助]求教关于tp更新后双机调试问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]求教关于tp更新后双机调试问题

发表于: 2012-10-20 09:45 13972

[求助]求教关于tp更新后双机调试问题

记忆中shu

2012-10-20 09:45

13972

论坛帖子中几乎所有过tp双机调试的方法都已失效
修改KdDisableDebugger头部被检测，je jne跳转重启，恢复KdSendPacket、KdReceivePacket 会重启

使用VirtualKD还是无效，hidekd只在tp第一次加载就停下了

这个问题困扰我好几天了

，请教各位大大这个双机调试到底要怎么才能过？我不是伸手党，我只需要一个指导方向就可以了，我可以自己去研究的，在此先谢谢了

[课程]Linux pwn 探索篇！

#调试逆向

收藏・6

免费・0

支持

最新回复 (20)
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 2 楼先干掉TP所有的内核定时器和内核线程，再才谈得上做其它的操作！你看它每个Hook地方的反汇编代码，好几个地方都有out指令的... 2012-10-20 13:40 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 3 楼额，现在的TP(TesSafe.sys,Ver:1.15.0.542)似乎没有HOOK KdSendPacket、KdReceivePacket吧，你的是老版本的？ 2012-10-20 14:52 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 4 楼感谢惊电的回复我为了先看效果，就用了pt把dpc、io、回调函数、内核线程全摘除和停止了，之后自己在驱动中调用KdEnableDebugger,可没效果，windbg还是断不下来，不知道是不是其他地方还有检测？ 2012-10-20 15:12 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 5 楼感谢iwantbmw的回复我把版本更新了，用工具确实没发现这两个函数被hook，但用工具摘除了一些监控后依然无法断下来，不知道是什么原因，能否指点一下？ 2012-10-20 15:21 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼除了上面那些地方，还有以下地方你没处理： DebugPort清零(4处) 检测(2处) KdDisableDebugger DbgkpSetProcessDebugObject DbgkpQueueMessage NtGetContextThread NtSetContextThread 2012-10-20 15:28 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 7 楼再次感谢 DbgkpSetProcessDebugObject DbgkpQueueMessage NtGetContextThread NtSetContextThread 之前只以为这几个函数和od调试有关，没想到和双机也有关系其实我想过双机调试就是为了找DebugPort的位置的，关键是断不下来，真不知道有没有其他的办法找DebugPort的位置？ 2012-10-20 15:46 0
mienboy 雪币： 194 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	mienboy 8 楼你好，我在也整这个保护。请教下我处理了TP的 NtOpenProcess NtOpenThread KiAttachProcess NtRead/WriteMemory DbgkpSetProcessDebugObject DbgkpPostFakeThreadMessages DbgkpSendApiMessage DbgkpPostFakeModuleMessages 为什么还是无法附加。。。 2012-10-20 16:19 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 9 楼请问你是怎么过双机调试的啊，能稍微透露点方法吗？ 2012-10-20 16:57 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 10 楼我比较菜，用的是暴力NOP的方法，就是把TesSafe调用反双机的函数的地方都NOP掉，这样的结果是可以双机，但CPU占用似乎挺高，可能有死循环。 2012-10-21 10:07 0
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 11 楼楼上强大暴力! 2012-10-21 14:30 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 12 楼感谢感谢昨天由于有事急着出门所以按照你的方法试了一下，我不知道是不是我没弄好，那三条指令执行后g运行后就重启了，我以前试过修改tp保护的代码，但全部都会重启，我想它的代码应该是被保护起来了 2012-10-22 14:33 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 13 楼我按照这篇帖子 http://bbs.pediy.com/showthread.php?t=148815 改掉以下函数DebugPort函数的位置，绕HOOK是用的重加载内核，不想去修改TP代码，为什么附加后看不到代码呢，ALT+C能显示代码了，但是也看不到模块而且加载了双内核，OD附加的时候还是会去调用旧内核的dbg相关函数，只有把新旧内核访问DebugPort的地方都改掉，下断点才有用，求高人答疑看不到模块，也不能bp API这样下断 ULONG KiDispatchException; //1处 ULONG NtQueryInformationProcess; //1处 ULONG PspCreateProcess; //1处 ULONG PsGetProcessDebugPort; //1处 ULONG PsIsProcessBeingDebugged; //1处 ULONG NtTerminateProcess; //1处 ULONG PspTerminateProcess; //1处 ULONG PspExitThread; //1处 ULONG PspProcessDelete; //3处 ULONG ObpCloseHandleTableEntry; //1处 ULONG ObpCloseHandle; //1处 ULONG MmCreatePeb; //1处 ULONG DbgkCreateThread; //1处 ULONG DbgkExitThread; //1处 ULONG DbgkExitProcess; //1处 ULONG DbgkMapViewOfSection; //1处 ULONG DbgkUnMapViewOfSection; //1处 ULONG DbgkpMarkProcessPeb; //1处 ULONG DbgkpCloseObject; //3处 ULONG DbgkCopyProcessDebugPort[3]; //4处 ULONG DbgkOpenProcessDebugPort; //2处 ULONG DbgkpQueueMessage; //1处 ULONG DbgkClearProcessDebugObject; //2处 ULONG DbgkpSetProcessDebugObject[5]; //5处 ULONG DbgkForwardException; //1处 2012-10-22 16:00 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼 http://www.eyybc.com/thread-418783-1-1.html 不用对tensafe。sys做任何手脚，直接单机调试~ 2012-10-22 16:49 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 15 楼我的是虚拟机中的XP SP3系统，游戏是地下城，测试OK，不需要其他额外的操作。如果是其他游戏可能情况不同吧。大致思路应该都差不多吧。 2012-10-22 21:11 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 16 楼感谢回复我来晚了，帖子好像已经被删掉了 2012-10-24 13:52 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 17 楼嗯，感谢你的帮助 2012-10-24 13:54 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 18 楼他有个地方是循环检查的,就是个死循环检查KdDebugerEnable 的,所以你nop掉以后就CPU奇高了! 2013-1-21 01:18 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 19 楼你说的是VT技术吧 2013-1-21 07:17 0
pcmyth 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	pcmyth 20 楼他的贴子我看了,是改造win2003的内核过精零 2013-1-27 00:02 0
wangweilll 雪币： 508 活跃值： (202) 能力值： ( LV9，RANK：160 ) 在线值：发帖 36 回帖 195 粉丝 2 关注私信	wangweilll 2 21 楼干掉二处检测在修改函数头 jne je 就OK了 2013-2-4 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

记忆中shu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 2 楼先干掉TP所有的内核定时器和内核线程，再才谈得上做其它的操作！你看它每个Hook地方的反汇编代码，好几个地方都有out指令的... 2012-10-20 13:40 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 3 楼额，现在的TP(TesSafe.sys,Ver:1.15.0.542)似乎没有HOOK KdSendPacket、KdReceivePacket吧，你的是老版本的？ 2012-10-20 14:52 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 4 楼感谢惊电的回复我为了先看效果，就用了pt把dpc、io、回调函数、内核线程全摘除和停止了，之后自己在驱动中调用KdEnableDebugger,可没效果，windbg还是断不下来，不知道是不是其他地方还有检测？ 2012-10-20 15:12 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 5 楼感谢iwantbmw的回复我把版本更新了，用工具确实没发现这两个函数被hook，但用工具摘除了一些监控后依然无法断下来，不知道是什么原因，能否指点一下？ 2012-10-20 15:21 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼除了上面那些地方，还有以下地方你没处理： DebugPort清零(4处) 检测(2处) KdDisableDebugger DbgkpSetProcessDebugObject DbgkpQueueMessage NtGetContextThread NtSetContextThread 2012-10-20 15:28 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 7 楼再次感谢 DbgkpSetProcessDebugObject DbgkpQueueMessage NtGetContextThread NtSetContextThread 之前只以为这几个函数和od调试有关，没想到和双机也有关系其实我想过双机调试就是为了找DebugPort的位置的，关键是断不下来，真不知道有没有其他的办法找DebugPort的位置？ 2012-10-20 15:46 0
mienboy 雪币： 194 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	mienboy 8 楼你好，我在也整这个保护。请教下我处理了TP的 NtOpenProcess NtOpenThread KiAttachProcess NtRead/WriteMemory DbgkpSetProcessDebugObject DbgkpPostFakeThreadMessages DbgkpSendApiMessage DbgkpPostFakeModuleMessages 为什么还是无法附加。。。 2012-10-20 16:19 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 9 楼请问你是怎么过双机调试的啊，能稍微透露点方法吗？ 2012-10-20 16:57 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 10 楼我比较菜，用的是暴力NOP的方法，就是把TesSafe调用反双机的函数的地方都NOP掉，这样的结果是可以双机，但CPU占用似乎挺高，可能有死循环。 2012-10-21 10:07 0
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 11 楼楼上强大暴力! 2012-10-21 14:30 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 12 楼感谢感谢昨天由于有事急着出门所以按照你的方法试了一下，我不知道是不是我没弄好，那三条指令执行后g运行后就重启了，我以前试过修改tp保护的代码，但全部都会重启，我想它的代码应该是被保护起来了 2012-10-22 14:33 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 13 楼我按照这篇帖子 http://bbs.pediy.com/showthread.php?t=148815 改掉以下函数DebugPort函数的位置，绕HOOK是用的重加载内核，不想去修改TP代码，为什么附加后看不到代码呢，ALT+C能显示代码了，但是也看不到模块而且加载了双内核，OD附加的时候还是会去调用旧内核的dbg相关函数，只有把新旧内核访问DebugPort的地方都改掉，下断点才有用，求高人答疑看不到模块，也不能bp API这样下断 ULONG KiDispatchException; //1处 ULONG NtQueryInformationProcess; //1处 ULONG PspCreateProcess; //1处 ULONG PsGetProcessDebugPort; //1处 ULONG PsIsProcessBeingDebugged; //1处 ULONG NtTerminateProcess; //1处 ULONG PspTerminateProcess; //1处 ULONG PspExitThread; //1处 ULONG PspProcessDelete; //3处 ULONG ObpCloseHandleTableEntry; //1处 ULONG ObpCloseHandle; //1处 ULONG MmCreatePeb; //1处 ULONG DbgkCreateThread; //1处 ULONG DbgkExitThread; //1处 ULONG DbgkExitProcess; //1处 ULONG DbgkMapViewOfSection; //1处 ULONG DbgkUnMapViewOfSection; //1处 ULONG DbgkpMarkProcessPeb; //1处 ULONG DbgkpCloseObject; //3处 ULONG DbgkCopyProcessDebugPort[3]; //4处 ULONG DbgkOpenProcessDebugPort; //2处 ULONG DbgkpQueueMessage; //1处 ULONG DbgkClearProcessDebugObject; //2处 ULONG DbgkpSetProcessDebugObject[5]; //5处 ULONG DbgkForwardException; //1处 2012-10-22 16:00 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼 http://www.eyybc.com/thread-418783-1-1.html 不用对tensafe。sys做任何手脚，直接单机调试~ 2012-10-22 16:49 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 15 楼我的是虚拟机中的XP SP3系统，游戏是地下城，测试OK，不需要其他额外的操作。如果是其他游戏可能情况不同吧。大致思路应该都差不多吧。 2012-10-22 21:11 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 16 楼感谢回复我来晚了，帖子好像已经被删掉了 2012-10-24 13:52 0
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 17 楼嗯，感谢你的帮助 2012-10-24 13:54 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 18 楼他有个地方是循环检查的,就是个死循环检查KdDebugerEnable 的,所以你nop掉以后就CPU奇高了! 2013-1-21 01:18 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 19 楼你说的是VT技术吧 2013-1-21 07:17 0
pcmyth 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	pcmyth 20 楼他的贴子我看了,是改造win2003的内核过精零 2013-1-27 00:02 0
wangweilll 雪币： 508 活跃值： (202) 能力值： ( LV9，RANK：160 ) 在线值：发帖 36 回帖 195 粉丝 2 关注私信	wangweilll 2 21 楼干掉二处检测在修改函数头 jne je 就OK了 2013-2-4 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复