[讨论] 情人节各种P大出血总结-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论] 情人节各种P大出血总结

发表于: 2013-8-15 01:28 15282

[讨论] 情人节各种P大出血总结

kingsdows

2013-8-15 01:28

15282

今年情人节大家在论坛可真的过得惊心动魄啊

在老V的带领下率先爆出AGP源码，
陆续各路牛人都来抢一出风头，又重量级猛爆过反调试源码.

我都一一膜拜地下载了拜读，总结下我的学习笔记。

首先爆出的2款是基于VT的， AGP和Ddvp。
对于VT我没什么研究，个人理解核心就是利用VT技术对各种调试异常中断进行拦截.

然后爆出的有PassTP,Local_LaoSys,BypassHP等三款，
这三款的核心都是把wrk里的windows应用程序调试子系统dbgk的代码扣出来，
修改了获取DebugPort的方式，然后再inline hook原来的dbgk子系统相关函数，
转入修改后的dbgk子系统里执行。

最后还有个EasyDebugger，这个是直接Patch内核里所有的DebugPort偏移，
貌似TP现在已经开始检测了，不好使了。

刚才仔细看了下AGP， AGP并没有使用VT来实现调试子系统机制，AGP也是扣的Dbgk的代码然后inline hook原内核。 AGP是利用了VT实现了个"超级断点"，这个不太了解。
而Ddvp的前半部分和AGP类似，也是inline hook了Dbgk那几个函数，后面Ddvp利用VT拦截了int 1, int 3中断，但是拦截到之后具体怎么处理没搞明白。

这和我之前想象的利用VT对异常中断进行拦截，然后包装成Msg直接Queue到自定义的DebugObject有些不一样。

以上只是个人愚见，希望和各路大牛一起交流交流.

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・29

免费・5

支持

最新回复 (23)
月影小子雪币： 3011 活跃值： (468) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	月影小子 2 楼楼主，有文采，顶一下。 2013-8-15 01:34 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 3 楼。。。程序好比电视机。。。买了看就行了。。。Who T.M Care 里面多少元件。 2013-8-15 01:44 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 4 楼撸主真牛B.秒钟就读完了》。。。。。。。。还总结发出来.....膜拜！！！！！1 2013-8-15 02:15 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 5 楼利用vt技术的过保护会被和谐吗? 2013-8-15 02:47 0
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 6 楼开源就是重新画了一个新的起跑线,Protecter和Anti Protecter都要重新冲刺,谁的基础能够支撑他成为跑在前面的少数人,谁是胜者! 2013-8-15 08:19 0
Yecate 雪币： 129 活跃值： (2768) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 7 楼在攻与防的对立统一中寻求突破。 2013-8-15 08:40 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼一场激烈的较量将要开始…… 2013-8-15 08:49 0
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 9 楼用"惨烈"更恰当些 2013-8-15 08:50 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 10 楼支持楼主开贴进行源代码学习 2013-8-15 09:11 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 11 楼还没入门的该怎么破.... 2013-8-15 09:12 0
chindax 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	chindax 12 楼不明觉厉，膜拜之！ 2013-8-15 13:04 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 13 楼百家争鸣百花齐放。。。。 2013-8-15 20:56 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 14 楼真心强大支持楼主分析 2013-8-16 00:03 0
游人啊k 雪币： 253 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	游人啊k 15 楼真热闹啊。。我是来凑热闹的。 2013-8-16 08:15 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 16 楼分析得很准确，进入修改后的dbgk子系统不过VT硬件虚拟化的强大之处在于，它可以实现CPU指令级别的拦截也就是说，它无需修改驱动保护的任何代码就能够在第一时间获取CPU的控制权当然了，这套机制也是很复杂的，同时，由于太底层了，兼容性，CPU型号... 需要考虑的各种问题也很多 2013-8-16 08:39 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 17 楼楼上的说的总结的不错啊呵呵太底层的东西兼容性就不知道怎么说好! 2013-8-16 15:50 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 18 楼 2013-8-17 09:58 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 19 楼总记不错。 2013-8-17 10:21 0
zhouxgang 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	zhouxgang 20 楼学习学习 2013-8-17 10:32 0
qqzsxyz 雪币： 244 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	qqzsxyz 21 楼好吧，MARK 2013-8-17 13:32 0
qqsigma 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 44 粉丝 0 关注私信	qqsigma 22 楼我好喜欢这句英语 "Who T.M Care" 2013-8-18 22:30 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 23 楼兄弟 BypassHP//我怎么没找到呀。给个链接 2013-9-9 17:25 0
wcfq 雪币： 1025 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	wcfq 24 楼老大能不能给西各个源码的下载地址找不到啊 2013-9-11 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kingsdows

发帖

110

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
月影小子雪币： 3011 活跃值： (468) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	月影小子 2 楼楼主，有文采，顶一下。 2013-8-15 01:34 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 3 楼。。。程序好比电视机。。。买了看就行了。。。Who T.M Care 里面多少元件。 2013-8-15 01:44 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 4 楼撸主真牛B.秒钟就读完了》。。。。。。。。还总结发出来.....膜拜！！！！！1 2013-8-15 02:15 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 5 楼利用vt技术的过保护会被和谐吗? 2013-8-15 02:47 0
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 6 楼开源就是重新画了一个新的起跑线,Protecter和Anti Protecter都要重新冲刺,谁的基础能够支撑他成为跑在前面的少数人,谁是胜者! 2013-8-15 08:19 0
Yecate 雪币： 129 活跃值： (2768) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 7 楼在攻与防的对立统一中寻求突破。 2013-8-15 08:40 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼一场激烈的较量将要开始…… 2013-8-15 08:49 0
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 9 楼用"惨烈"更恰当些 2013-8-15 08:50 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 10 楼支持楼主开贴进行源代码学习 2013-8-15 09:11 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 11 楼还没入门的该怎么破.... 2013-8-15 09:12 0
chindax 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	chindax 12 楼不明觉厉，膜拜之！ 2013-8-15 13:04 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 13 楼百家争鸣百花齐放。。。。 2013-8-15 20:56 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 14 楼真心强大支持楼主分析 2013-8-16 00:03 0
游人啊k 雪币： 253 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	游人啊k 15 楼真热闹啊。。我是来凑热闹的。 2013-8-16 08:15 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 16 楼分析得很准确，进入修改后的dbgk子系统不过VT硬件虚拟化的强大之处在于，它可以实现CPU指令级别的拦截也就是说，它无需修改驱动保护的任何代码就能够在第一时间获取CPU的控制权当然了，这套机制也是很复杂的，同时，由于太底层了，兼容性，CPU型号... 需要考虑的各种问题也很多 2013-8-16 08:39 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 17 楼楼上的说的总结的不错啊呵呵太底层的东西兼容性就不知道怎么说好! 2013-8-16 15:50 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 18 楼 2013-8-17 09:58 0
阳光code 雪币： 652 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 0 关注私信	阳光code 19 楼总记不错。 2013-8-17 10:21 0
zhouxgang 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	zhouxgang 20 楼学习学习 2013-8-17 10:32 0
qqzsxyz 雪币： 244 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	qqzsxyz 21 楼好吧，MARK 2013-8-17 13:32 0
qqsigma 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 44 粉丝 0 关注私信	qqsigma 22 楼我好喜欢这句英语 "Who T.M Care" 2013-8-18 22:30 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 23 楼兄弟 BypassHP//我怎么没找到呀。给个链接 2013-9-9 17:25 0
wcfq 雪币： 1025 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	wcfq 24 楼老大能不能给西各个源码的下载地址找不到啊 2013-9-11 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复