[求助]貌似新TP把所有的调试权限清除了-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]貌似新TP把所有的调试权限清除了

发表于: 2013-8-29 23:15 17407

[求助]貌似新TP把所有的调试权限清除了

warfrog

2013-8-29 23:15

17407

貌似新TP把所有的调试权限清除了，这个怎么实现的？

如何恢复？难道又只有去逆代码了，有没有牛人指点行啊。感谢了。

全程直播
http://pan.baidu.com/share/link?shareid=3004105586&uk=858825181
空间下载
TP新技术研究视频(1)

[课程]Android-CTF解题方法汇总！

收藏・13

免费・0

支持

最新回复 (20)
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 2 楼看来只有自己丰衣足食了，自己动手，大牛都掖着呢。网站全程播放分析过程，只求技术讨论别无所求。http://www.diaosiyu.cn/ 全程直播 http://pan.baidu.com/share/link?shareid=3004105586&uk=858825181 空间下载 TP新技术研究视频(1) 2013-8-30 11:39 0
PPTV 雪币： 9573 活跃值： (2401) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 3 楼什么网站啊？把人家当SB？diaosiyu=钓死鱼 2013-8-30 11:54 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 4 楼屌丝雨？不是吊死鬼就行 2013-8-30 12:09 0
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 5 楼 OK，开始直播全程直播 http://pan.baidu.com/share/link?shareid=3004105586&uk=858825181 空间下载 TP新技术研究视频(1) 2013-8-30 15:09 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 6 楼鱼哥牛逼！新TP又被你踩在脚下！ 2013-8-30 18:01 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 7 楼强悍！！！！！！！！！！ 2013-8-30 18:05 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 8 楼这下可以秒过新版TP了 2013-8-30 18:16 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼清除权限是个好思路，不过会不会影响其它程序的稳定性？看来还是自己实现整个debug模块才是王道 2013-8-31 02:14 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 10 楼为什么我没发现TP更新了？体验服？反正国服无压力 2013-8-31 05:02 0
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 11 楼 DbgkDebugObjectType内核结构被修改导致没权限建立调试会话解决办法很多比如 NtCreateDebugObject NtDebugActiveProcess 创建句柄和建立会话会用到调试对象查看权限 hook掉或者自建调试对象嫌麻烦的话双机patch 2013-8-31 05:46 0
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 12 楼 lkd> dd DbgkDebugObjectType 8055a540 8a413308 00000000 00000000 00000000 8055a550 00000000 00000000 00000000 00000000 8055a560 0001173d 00005613 0000bd26 000035d5 8055a570 000001fc 000111e3 00000000 00000000 8055a580 00000000 00000000 000059e8 00000000 8055a590 00000000 00000000 00000233 00000000 8055a5a0 000063bd 00000000 000182ac 00002025 8055a5b0 00000000 000a83bc 00000000 00000000 lkd> dt _DEBUG_OBJECT _TYPE Symbol _DEBUG_OBJECT not found. lkd> dt _OBJECT_TYPE 8a413308 nt!_OBJECT_TYPE +0x000 Mutex : _ERESOURCE +0x038 TypeList : _LIST_ENTRY [ 0x8a413340 - 0x8a413340 ] +0x040 Name : _UNICODE_STRING "DebugObject" +0x048 DefaultObject : (null) +0x04c Index : 8 +0x050 TotalNumberOfObjects : 0 +0x054 TotalNumberOfHandles : 0 +0x058 HighWaterNumberOfObjects : 1 +0x05c HighWaterNumberOfHandles : 1 +0x060 TypeInfo : _OBJECT_TYPE_INITIALIZER +0x0ac Key : 0x75626544 +0x0b0 ObjectLocks : [4] _ERESOURCE lkd> dt _OBJECT_TYPE_INITIALIZER 8a413308 +60 nt!_OBJECT_TYPE_INITIALIZER +0x000 Length : 0x4c +0x002 UseDefaultObject : 0 '' +0x003 CaseInsensitive : 0 '' +0x004 InvalidAttributes : 0 +0x008 GenericMapping : _GENERIC_MAPPING +0x018 ValidAccessMask : 0x1f000f // +0x01c SecurityRequired : 0x1 '' +0x01d MaintainHandleCount : 0 '' +0x01e MaintainTypeList : 0 '' +0x020 PoolType : 0 ( NonPagedPool ) +0x024 DefaultPagedPoolCharge : 0 +0x028 DefaultNonPagedPoolCharge : 0x30 +0x02c DumpProcedure : (null) +0x030 OpenProcedure : (null) +0x034 CloseProcedure : 0x80644740 void nt!DbgkpCloseObject+0 +0x038 DeleteProcedure : 0x80574578 void nt!FstubTranslatorNull+0 +0x03c ParseProcedure : (null) +0x040 SecurityProcedure : 0x805f9a98 long nt!SeDefaultObjectMethod+0 +0x044 QueryNameProcedure : (null) +0x048 OkayToCloseProcedure : (null) 应该是这样如果有错请勿丢砖头哈我没去看过TP 2013-8-31 05:57 0
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 13 楼楼上正解 2013-8-31 08:41 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 14 楼莫非TP也玩objhook了？看来终于有进步了…… 2013-8-31 10:09 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 15 楼 TP没啥进步，也不会玩obj hook 就是一个结构项清零唯一进步的地方是学会探测自身模块是否被下断点 2013-8-31 15:48 0
小宝来了雪币： 1098 活跃值： (746) 能力值： ( LV5，RANK：60 ) 在线值：发帖 16 回帖 37 粉丝 101 关注私信	小宝来了 1 16 楼我研究了下，发现TP的这个权限清0也不是很难。 _OBJECT_TYPE_INITIALIZER 分析后发现TP把 +0x008 GenericMapping 和+0x018 ValidAccessMask进行了清0 TP开了线程清，我发现有3处(貌似是4处)，Hook技术不行，我直接开IoTimer进行还原调试权限操作，结果成功了。这是我分析的三处清0 TesSafe+0x12C2F9 58 POP EAX TesSafe+0x12C2FA 8706 XCHG [ESI],EAX //ESI地址清0 1 TesSafe+0x122FED 58 POP EAX TesSafe+0x122FEE 8701 XCHG [ECX],EAX //ECX地址清0 2 TesSafe+0x1352E2 58 POP EAX TesSafe+0x1352E3 8701 XCHG [ECX],EAX //ECX地址清0 3 顺便贴张图因为TP检测到了我是在虚拟机里，所以报非法上传的附件： 1.png （99.30kb，54次下载） 2013-8-31 16:49 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 17 楼是探测软断还是硬断 2013-8-31 19:56 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 18 楼膜拜逆向大神，不懂逆向只能按原理分析慢慢找原因。。 2013-9-2 01:52 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 19 楼膜拜大牛！ 2013-9-2 03:48 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 20 楼楼主牛人呀！看你网站，新TP你尽然已经给过了！ 2013-9-3 18:27 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 21 楼永远被楼上各位甩在i后面 2013-9-3 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

warfrog

发帖

102

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 2 楼看来只有自己丰衣足食了，自己动手，大牛都掖着呢。网站全程播放分析过程，只求技术讨论别无所求。http://www.diaosiyu.cn/ 全程直播 http://pan.baidu.com/share/link?shareid=3004105586&uk=858825181 空间下载 TP新技术研究视频(1) 2013-8-30 11:39 0
PPTV 雪币： 9573 活跃值： (2401) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 3 楼什么网站啊？把人家当SB？diaosiyu=钓死鱼 2013-8-30 11:54 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 4 楼屌丝雨？不是吊死鬼就行 2013-8-30 12:09 0
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 5 楼 OK，开始直播全程直播 http://pan.baidu.com/share/link?shareid=3004105586&uk=858825181 空间下载 TP新技术研究视频(1) 2013-8-30 15:09 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 6 楼鱼哥牛逼！新TP又被你踩在脚下！ 2013-8-30 18:01 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 7 楼强悍！！！！！！！！！！ 2013-8-30 18:05 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 8 楼这下可以秒过新版TP了 2013-8-30 18:16 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼清除权限是个好思路，不过会不会影响其它程序的稳定性？看来还是自己实现整个debug模块才是王道 2013-8-31 02:14 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 10 楼为什么我没发现TP更新了？体验服？反正国服无压力 2013-8-31 05:02 0
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 11 楼 DbgkDebugObjectType内核结构被修改导致没权限建立调试会话解决办法很多比如 NtCreateDebugObject NtDebugActiveProcess 创建句柄和建立会话会用到调试对象查看权限 hook掉或者自建调试对象嫌麻烦的话双机patch 2013-8-31 05:46 0
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 12 楼 lkd> dd DbgkDebugObjectType 8055a540 8a413308 00000000 00000000 00000000 8055a550 00000000 00000000 00000000 00000000 8055a560 0001173d 00005613 0000bd26 000035d5 8055a570 000001fc 000111e3 00000000 00000000 8055a580 00000000 00000000 000059e8 00000000 8055a590 00000000 00000000 00000233 00000000 8055a5a0 000063bd 00000000 000182ac 00002025 8055a5b0 00000000 000a83bc 00000000 00000000 lkd> dt _DEBUG_OBJECT _TYPE Symbol _DEBUG_OBJECT not found. lkd> dt _OBJECT_TYPE 8a413308 nt!_OBJECT_TYPE +0x000 Mutex : _ERESOURCE +0x038 TypeList : _LIST_ENTRY [ 0x8a413340 - 0x8a413340 ] +0x040 Name : _UNICODE_STRING "DebugObject" +0x048 DefaultObject : (null) +0x04c Index : 8 +0x050 TotalNumberOfObjects : 0 +0x054 TotalNumberOfHandles : 0 +0x058 HighWaterNumberOfObjects : 1 +0x05c HighWaterNumberOfHandles : 1 +0x060 TypeInfo : _OBJECT_TYPE_INITIALIZER +0x0ac Key : 0x75626544 +0x0b0 ObjectLocks : [4] _ERESOURCE lkd> dt _OBJECT_TYPE_INITIALIZER 8a413308 +60 nt!_OBJECT_TYPE_INITIALIZER +0x000 Length : 0x4c +0x002 UseDefaultObject : 0 '' +0x003 CaseInsensitive : 0 '' +0x004 InvalidAttributes : 0 +0x008 GenericMapping : _GENERIC_MAPPING +0x018 ValidAccessMask : 0x1f000f // +0x01c SecurityRequired : 0x1 '' +0x01d MaintainHandleCount : 0 '' +0x01e MaintainTypeList : 0 '' +0x020 PoolType : 0 ( NonPagedPool ) +0x024 DefaultPagedPoolCharge : 0 +0x028 DefaultNonPagedPoolCharge : 0x30 +0x02c DumpProcedure : (null) +0x030 OpenProcedure : (null) +0x034 CloseProcedure : 0x80644740 void nt!DbgkpCloseObject+0 +0x038 DeleteProcedure : 0x80574578 void nt!FstubTranslatorNull+0 +0x03c ParseProcedure : (null) +0x040 SecurityProcedure : 0x805f9a98 long nt!SeDefaultObjectMethod+0 +0x044 QueryNameProcedure : (null) +0x048 OkayToCloseProcedure : (null) 应该是这样如果有错请勿丢砖头哈我没去看过TP 2013-8-31 05:57 0
warfrog 雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 102 粉丝 0 关注私信	warfrog 13 楼楼上正解 2013-8-31 08:41 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 14 楼莫非TP也玩objhook了？看来终于有进步了…… 2013-8-31 10:09 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 15 楼 TP没啥进步，也不会玩obj hook 就是一个结构项清零唯一进步的地方是学会探测自身模块是否被下断点 2013-8-31 15:48 0
小宝来了雪币： 1098 活跃值： (746) 能力值： ( LV5，RANK：60 ) 在线值：发帖 16 回帖 37 粉丝 101 关注私信	小宝来了 1 16 楼我研究了下，发现TP的这个权限清0也不是很难。 _OBJECT_TYPE_INITIALIZER 分析后发现TP把 +0x008 GenericMapping 和+0x018 ValidAccessMask进行了清0 TP开了线程清，我发现有3处(貌似是4处)，Hook技术不行，我直接开IoTimer进行还原调试权限操作，结果成功了。这是我分析的三处清0 TesSafe+0x12C2F9 58 POP EAX TesSafe+0x12C2FA 8706 XCHG [ESI],EAX //ESI地址清0 1 TesSafe+0x122FED 58 POP EAX TesSafe+0x122FEE 8701 XCHG [ECX],EAX //ECX地址清0 2 TesSafe+0x1352E2 58 POP EAX TesSafe+0x1352E3 8701 XCHG [ECX],EAX //ECX地址清0 3 顺便贴张图因为TP检测到了我是在虚拟机里，所以报非法上传的附件： 1.png （99.30kb，54次下载） 2013-8-31 16:49 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 17 楼是探测软断还是硬断 2013-8-31 19:56 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 18 楼膜拜逆向大神，不懂逆向只能按原理分析慢慢找原因。。 2013-9-2 01:52 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 19 楼膜拜大牛！ 2013-9-2 03:48 0
修罗霸王雪币： 206 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	修罗霸王 20 楼楼主牛人呀！看你网站，新TP你尽然已经给过了！ 2013-9-3 18:27 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 21 楼永远被楼上各位甩在i后面 2013-9-3 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复