[原创]我也分享下过掉某P的双机调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]我也分享下过掉某P的双机调试

发表于: 2013-7-27 19:15 22772

[原创]我也分享下过掉某P的双机调试

jaix

2013-7-27 19:15

22772

某P更新了。对双机调试进行了校验。
一刀砍倒像我一样的小菜鸟。
迷迷糊糊的弄了几天。
特意在google上下载了一份NT 和2000的内核部分源代码
感谢yishenbiao和小烦的帖子给了我思路：
http://bbs.pediy.com/showthread.php?t=176159
http://bbs.pediy.com/showthread.php?t=176132
下面开始主题

yishenbiao在他的帖子里说了一句话
“我们没法改变某P的代码他现在是有效验。但是我们可以改变某P的数据或者寄存器的数。”
对，我们可以修改其的数据和寄存器的值。

某P调用KdDisableDebugger的代码我没有上了。
说下他会循环调用第二次调用KdDisableDebugger的函数。第一处是不会循环调用的，仅仅加载驱动时调用一次。

第一处判断是否调用KdDisableDebugger成功是KdDebuggerEnabled是否为0

第二处判断是KiDebugRoutine是否为KdpStub。

在IDA里面打开驱动文件，我们可以看到这么一句

mov     ecx, dword_1040508
test    ecx, ecx
jz      short locret_10093F3

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・30

免费・5

支持

最新回复 (32) 1 2 ▶
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2 楼 hook NtDebugActiveProcess 调用ObReferenceObjectByHandle前用eprocess->ObjectTable 改回去. (winXP) nt!_EPROCESS +0x0c4 ObjectTable : 0xe1708f10 _HANDLE_TABLE 2013-7-27 19:21 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 3 楼支持楼主，一起努力打败TP 2013-7-27 20:59 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 4 楼其实为什么都去理会kddisableddebugger，xp下完全忽略。 2013-7-27 21:42 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 5 楼大神，是你开玩笑还是我电脑问题？。。。我是XP系统没过KdDisableDebugger完全不可调试 2013-7-27 23:25 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 6 楼谢谢大神指点，我去尝试一下 2013-7-27 23:26 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 7 楼嗯嗯一起学习 2013-7-27 23:28 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 8 楼总之我调试时根本没去处理这个全局变量；在xp以上系统才去还原，也不用这么麻烦。 2013-7-28 09:14 0
黑X影雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	黑X影 9 楼顶楼主啊，就喜欢这样共享精神，一些人技术虽高可是人品极低，故意说的云里雾里让人迷惑**，另外debugport清零是很复杂CRC校验CRC，且不知道是CRC多还是动态执行，地址不固定，我找到的就有7,8个了，索性放弃想重载下内核，劝楼主也放弃吧，太麻烦了 2013-7-28 09:14 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 10 楼再教你们一招，只要把KdDisableCount设为非0，什么KdDisableDebugger就没用了。这个从2K到WIN8都好使，不过要考虑这玩意整数溢出的情况，如果对方调得太多次（超过42亿次）就又有效了，如果真那么频繁，定期恢复一下1就可以了其实方法很多的，看看KdDisableDebugger的实现就知道了，比如vista以上的，修改KdPitchDebugger啊，都可以轻松优美搞定KdDisableDebugger 2013-7-28 11:48 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 11 楼自己修改kddisabledebuggerwithlock 里的全局变量enable为自己的全局变量newenable 不行吗让TP一直访问那个那个全局变量enable 判断去如果TP不是获取这个全局变量的？难道还是自己实现回调函数获取调试状态的？ KdDisableCount不会也是全局变量吧。。。我再修改函数替换为newKdDisableCount可以吗以上全是扯淡具体没试现在在学习撸obj type hook 没空撸tp 郁闷啊 2013-7-28 14:08 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 12 楼轻松优美是指不碰游戏保护弓虽女干自己的内核吧我现在也想这么做 2013-7-28 14:12 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼替换newenable 就是我最早说的啊 2013-7-28 14:15 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 14 楼重载内核是最低端最不优美最没技术含量的做法了 2013-7-28 14:16 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 15 楼嗯嗯，你试过可行吗 2013-7-28 14:20 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 16 楼重载内核的话时钟监视一直写HOOK怎么破？ 2013-7-28 14:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 17 楼没有，我又不搞你们这个，提供一个简单思路而已 2013-7-28 14:34 0
charwin 雪币： 50 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	charwin 18 楼如果只是是针对某P的附加反调试...其实只需要改某函数的某一个字节就可以... 2013-7-28 16:33 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 19 楼标记一下.正在驱动入门中 2013-7-28 16:57 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 20 楼看了这么多大神回帖后，我发现我太差了。弄了个这么的办法。请问是修改哪里的一个字节呢，学习下。谢谢。 2013-7-28 19:54 0
charwin 雪币： 50 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	charwin 21 楼因为他设置的是dbgobjecttype的权限..而附加的时候出的错.所以可以考虑到的是ntdebugactiveprocess出的错..而参考wrk时.你会发现该函数的参数是进程句柄.以及dbgobject句柄...而根据句柄查阅具体对象时.调用的是ObReferenceObjectByHandle.所以.只需要处理这个函数就可以.. 2013-7-29 08:09 0
quhuiq 雪币： 55 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	quhuiq 22 楼请问大哥们我按你这个代码好不容易弄出来了在调试器也可以看到按正常的线路走可是游戏一启动还是没法 ctrl+break 双机端口用的 VirtualKD 郁闷2天了小弟我是新新手什么也不懂是我理解错了还是。。。。看帮助是创建个新的线程然后下个断难道还要还原NT的HOOK吗？求指点另外放一处从新启动的call 给大哥门不知道我找的对不对 +4F74 5字节全 90 能进到游戏肯定还有别的位置！ 2013-7-29 15:08 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 23 楼谢谢楼主分享 2013-7-29 15:09 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 24 楼 tp一更新……大牛们群起而攻之 2013-7-29 18:46 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 25 楼把KdDisableCount设为非0，KdDisableDebugger是没用了，可是某P自己的代码还是把KdpStub给了KiDebugRutine啊，某P自己强制实现了KdDisableDebugger的功能，你把KdDisableDebugger作废了有什么用啊？我感觉还是要处理下某P 2013-7-29 23:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jaix

发帖

126

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2 楼 hook NtDebugActiveProcess 调用ObReferenceObjectByHandle前用eprocess->ObjectTable 改回去. (winXP) nt!_EPROCESS +0x0c4 ObjectTable : 0xe1708f10 _HANDLE_TABLE 2013-7-27 19:21 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 3 楼支持楼主，一起努力打败TP 2013-7-27 20:59 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 4 楼其实为什么都去理会kddisableddebugger，xp下完全忽略。 2013-7-27 21:42 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 5 楼大神，是你开玩笑还是我电脑问题？。。。我是XP系统没过KdDisableDebugger完全不可调试 2013-7-27 23:25 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 6 楼谢谢大神指点，我去尝试一下 2013-7-27 23:26 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 7 楼嗯嗯一起学习 2013-7-27 23:28 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 8 楼总之我调试时根本没去处理这个全局变量；在xp以上系统才去还原，也不用这么麻烦。 2013-7-28 09:14 0
黑X影雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	黑X影 9 楼顶楼主啊，就喜欢这样共享精神，一些人技术虽高可是人品极低，故意说的云里雾里让人迷惑**，另外debugport清零是很复杂CRC校验CRC，且不知道是CRC多还是动态执行，地址不固定，我找到的就有7,8个了，索性放弃想重载下内核，劝楼主也放弃吧，太麻烦了 2013-7-28 09:14 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 10 楼再教你们一招，只要把KdDisableCount设为非0，什么KdDisableDebugger就没用了。这个从2K到WIN8都好使，不过要考虑这玩意整数溢出的情况，如果对方调得太多次（超过42亿次）就又有效了，如果真那么频繁，定期恢复一下1就可以了其实方法很多的，看看KdDisableDebugger的实现就知道了，比如vista以上的，修改KdPitchDebugger啊，都可以轻松优美搞定KdDisableDebugger 2013-7-28 11:48 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 11 楼自己修改kddisabledebuggerwithlock 里的全局变量enable为自己的全局变量newenable 不行吗让TP一直访问那个那个全局变量enable 判断去如果TP不是获取这个全局变量的？难道还是自己实现回调函数获取调试状态的？ KdDisableCount不会也是全局变量吧。。。我再修改函数替换为newKdDisableCount可以吗以上全是扯淡具体没试现在在学习撸obj type hook 没空撸tp 郁闷啊 2013-7-28 14:08 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 12 楼轻松优美是指不碰游戏保护弓虽女干自己的内核吧我现在也想这么做 2013-7-28 14:12 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼替换newenable 就是我最早说的啊 2013-7-28 14:15 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 14 楼重载内核是最低端最不优美最没技术含量的做法了 2013-7-28 14:16 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 15 楼嗯嗯，你试过可行吗 2013-7-28 14:20 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 16 楼重载内核的话时钟监视一直写HOOK怎么破？ 2013-7-28 14:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 17 楼没有，我又不搞你们这个，提供一个简单思路而已 2013-7-28 14:34 0
charwin 雪币： 50 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	charwin 18 楼如果只是是针对某P的附加反调试...其实只需要改某函数的某一个字节就可以... 2013-7-28 16:33 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 19 楼标记一下.正在驱动入门中 2013-7-28 16:57 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 20 楼看了这么多大神回帖后，我发现我太差了。弄了个这么的办法。请问是修改哪里的一个字节呢，学习下。谢谢。 2013-7-28 19:54 0
charwin 雪币： 50 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	charwin 21 楼因为他设置的是dbgobjecttype的权限..而附加的时候出的错.所以可以考虑到的是ntdebugactiveprocess出的错..而参考wrk时.你会发现该函数的参数是进程句柄.以及dbgobject句柄...而根据句柄查阅具体对象时.调用的是ObReferenceObjectByHandle.所以.只需要处理这个函数就可以.. 2013-7-29 08:09 0
quhuiq 雪币： 55 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	quhuiq 22 楼请问大哥们我按你这个代码好不容易弄出来了在调试器也可以看到按正常的线路走可是游戏一启动还是没法 ctrl+break 双机端口用的 VirtualKD 郁闷2天了小弟我是新新手什么也不懂是我理解错了还是。。。。看帮助是创建个新的线程然后下个断难道还要还原NT的HOOK吗？求指点另外放一处从新启动的call 给大哥门不知道我找的对不对 +4F74 5字节全 90 能进到游戏肯定还有别的位置！ 2013-7-29 15:08 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 23 楼谢谢楼主分享 2013-7-29 15:09 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 24 楼 tp一更新……大牛们群起而攻之 2013-7-29 18:46 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 25 楼把KdDisableCount设为非0，KdDisableDebugger是没用了，可是某P自己的代码还是把KdpStub给了KiDebugRutine啊，某P自己强制实现了KdDisableDebugger的功能，你把KdDisableDebugger作废了有什么用啊？我感觉还是要处理下某P 2013-7-29 23:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复