[原创]调戏：Anti硬断的梗（2）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]调戏：Anti硬断的梗（2）

发表于: 2014-10-31 05:32 28784

[原创]调戏：Anti硬断的梗（2）

cvcvxk

2014-10-31 05:32

28784

查看主题内容

收藏・56

免费・3

支持

最新回复 (58) ◀ 1 2 3 ▶
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 26 楼如果CRC了的话就两条路了, 要么上驱动hook内核的异常分发或者挂一号中断, 当然大神的话还可以来个虚拟机来拦截异常....... 要么搞掉你的CRC线程了。上驱动取决于破解者水平，CRC的破解难度就取决于防御者了。看情况选路子~ 2014-10-31 22:54 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 27 楼切换线程时设置过去啊 2014-11-1 01:33 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 28 楼 KiUserExceptionDispatcher的地址，接管异常处理流程后也是可以改位置的 2014-11-1 01:37 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 29 楼另外这方法不是很老的技术了吗，之前的某壳会用DRX进行解码滴 2014-11-1 01:39 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 30 楼不明觉厉`` 2014-11-1 04:26 0
niling 雪币： 80 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 31 楼这种占坑害人的方法真是惨绝人寰啊！！！！那么我们可以这么对付你，强制把你占坑的地方挪下窝，把dr寄存器全读出来，然后我该怎么用怎么用，你占用这里不就是为了产生异常好让你的Filter处理嘛，不让你的Filter处理你就跟我拼命嘛。好嘛，通通满足你，我给你这4个地址通通写上0xCC,这不就产生异常啦(当然你也可以来CRC,不过异常方法太多了)，还有你的代码不够严谨应该在Filter函数里面判断下是硬断异常才跳过去嘛！ 2014-11-1 23:49 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 32 楼 oh my god！！！这就是传说的TP硬断占坑大法 2014-11-2 01:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 33 楼我这个最多叫占坑POC~ 2014-11-2 14:03 0
niceli 雪币： 273 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 34 楼这个占坑可以HOOK NtSetContextThread拦截后保存返回然后在断点处写CC TP的我还没拦截到什么地方设置的 2014-11-2 18:00 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 35 楼 POC和非POC的差别罢了~ 2014-11-2 18:29 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 36 楼 POC是什么啊求科普 2014-11-2 18:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 37 楼 POC就是一个证明，可以这样做。 POC，是Proof of Concept的缩写，意思是为观点提供证据，它是一套建议的电子模型，它可用于论证团队和客户的设计，允许评估和确认概念设计方案。 2014-11-2 18:39 0
nxtxfxsx 雪币： 2 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 1 关注私信	nxtxfxsx 38 楼哈，捞V态度真好，“连POC是什么”能随便百度到的问题都回复赞一个 2014-11-2 20:54 0
nxtxfxsx 雪币： 2 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 1 关注私信	nxtxfxsx 39 楼文章很好学习了 2014-11-2 20:57 0
vvLinker 雪币： 35 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 40 楼 V校，非POC的话每个线程都被占满了吗？？ 2014-11-3 15:28 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 41 楼请问下怎么更改程序的KiUserExceptionDispatcher的位置。。 2014-11-3 15:59 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 42 楼 V校终于爆料了，这个方法我们的反外挂模块已经用了一段时间了 2014-11-6 09:46 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 43 楼这个方法，Safengine用的时间更久远。不过还是能pass的~只是太复杂~ 2014-11-6 17:27 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 44 楼最新的几个版本的TP是这么干的，我理解是硬断占坑+周期线程逻辑+CRC，CRC不用说了，不要去改他的可执行区域，否则，大家都知道，数据异常、追封啊之类。周期线程逻辑，是主动触发异常，然后去走异常逻辑，做计数，如果发现问题，会掉线，不过目前好像还没加，但迟早会加。暂时还没想到这种组合拳的破解之法。 2014-11-10 16:07 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 45 楼如果组合上CRC,和DEP检查，怎么破呢？ 2014-11-10 17:28 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 46 楼上HardICE啊~无限硬断啊~真的硬调啊~ 以前的实验室有一台，可以去租用的说。一天才2百块租金，押金才1000。软技术上： VT的EPT技术使用TLB虚化，DTLB和ITLB分别放在两个物理页面，在没有办法在VT环境下检测VT前（pjf那种暴力扫描是可以，但是cpu种类如此多，特征码硬编码扫个VMWARE内的nested-vt还行，对真实cpu特征码累死累活啊，而且如果在Mmu上做了文章的VT还是扫不出来的），不过EPT对CPU和Bios要求高。 DEP检测是针对NX模拟硬断这类东西，现在已经不流行NX模拟硬断或者进行inlinehook了——新技术是利用Windows自己的内存管理上的一些特性工作，具体我也不是太清楚，我更喜欢用VT的方式。 2014-11-10 18:38 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 47 楼下硬件断点VT挺好不过那种通过硬件断点来实现类似HOOK的商用外挂应该就没戏了，毕竟还是有机器不支持VT的 2014-11-12 21:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 48 楼直接拔高技术门槛高~ 2014-11-12 23:13 0
lordnone 雪币： 49 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lordnone 49 楼 1. SetThreadContext, ZwContinue 处做HOOK，，（如果还有其他改变Dr的地方请指点哦。。）把dr设0.。。。。。。。。。。。同时把4处地址写上 0xF1 2. 在KiUserDispatch.. 上，，判断到是那4处地址（需要-1），，就设置dr6.。。。貌似就可以了。。。 crc的话，另外处理就行。。 2014-11-13 04:13 0
轩辕追命雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	轩辕追命 50 楼这东西叫位域.... 2014-11-14 16:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 26 楼如果CRC了的话就两条路了, 要么上驱动hook内核的异常分发或者挂一号中断, 当然大神的话还可以来个虚拟机来拦截异常....... 要么搞掉你的CRC线程了。上驱动取决于破解者水平，CRC的破解难度就取决于防御者了。看情况选路子~ 2014-10-31 22:54 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 27 楼切换线程时设置过去啊 2014-11-1 01:33 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 28 楼 KiUserExceptionDispatcher的地址，接管异常处理流程后也是可以改位置的 2014-11-1 01:37 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 29 楼另外这方法不是很老的技术了吗，之前的某壳会用DRX进行解码滴 2014-11-1 01:39 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 30 楼不明觉厉`` 2014-11-1 04:26 0
niling 雪币： 80 活跃值： (262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 31 楼这种占坑害人的方法真是惨绝人寰啊！！！！那么我们可以这么对付你，强制把你占坑的地方挪下窝，把dr寄存器全读出来，然后我该怎么用怎么用，你占用这里不就是为了产生异常好让你的Filter处理嘛，不让你的Filter处理你就跟我拼命嘛。好嘛，通通满足你，我给你这4个地址通通写上0xCC,这不就产生异常啦(当然你也可以来CRC,不过异常方法太多了)，还有你的代码不够严谨应该在Filter函数里面判断下是硬断异常才跳过去嘛！ 2014-11-1 23:49 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 32 楼 oh my god！！！这就是传说的TP硬断占坑大法 2014-11-2 01:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 33 楼我这个最多叫占坑POC~ 2014-11-2 14:03 0
niceli 雪币： 273 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 34 楼这个占坑可以HOOK NtSetContextThread拦截后保存返回然后在断点处写CC TP的我还没拦截到什么地方设置的 2014-11-2 18:00 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 35 楼 POC和非POC的差别罢了~ 2014-11-2 18:29 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 36 楼 POC是什么啊求科普 2014-11-2 18:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 37 楼 POC就是一个证明，可以这样做。 POC，是Proof of Concept的缩写，意思是为观点提供证据，它是一套建议的电子模型，它可用于论证团队和客户的设计，允许评估和确认概念设计方案。 2014-11-2 18:39 0
nxtxfxsx 雪币： 2 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 1 关注私信	nxtxfxsx 38 楼哈，捞V态度真好，“连POC是什么”能随便百度到的问题都回复赞一个 2014-11-2 20:54 0
nxtxfxsx 雪币： 2 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 66 粉丝 1 关注私信	nxtxfxsx 39 楼文章很好学习了 2014-11-2 20:57 0
vvLinker 雪币： 35 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 40 楼 V校，非POC的话每个线程都被占满了吗？？ 2014-11-3 15:28 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 41 楼请问下怎么更改程序的KiUserExceptionDispatcher的位置。。 2014-11-3 15:59 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 42 楼 V校终于爆料了，这个方法我们的反外挂模块已经用了一段时间了 2014-11-6 09:46 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 43 楼这个方法，Safengine用的时间更久远。不过还是能pass的~只是太复杂~ 2014-11-6 17:27 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 44 楼最新的几个版本的TP是这么干的，我理解是硬断占坑+周期线程逻辑+CRC，CRC不用说了，不要去改他的可执行区域，否则，大家都知道，数据异常、追封啊之类。周期线程逻辑，是主动触发异常，然后去走异常逻辑，做计数，如果发现问题，会掉线，不过目前好像还没加，但迟早会加。暂时还没想到这种组合拳的破解之法。 2014-11-10 16:07 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 45 楼如果组合上CRC,和DEP检查，怎么破呢？ 2014-11-10 17:28 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 46 楼上HardICE啊~无限硬断啊~真的硬调啊~ 以前的实验室有一台，可以去租用的说。一天才2百块租金，押金才1000。软技术上： VT的EPT技术使用TLB虚化，DTLB和ITLB分别放在两个物理页面，在没有办法在VT环境下检测VT前（pjf那种暴力扫描是可以，但是cpu种类如此多，特征码硬编码扫个VMWARE内的nested-vt还行，对真实cpu特征码累死累活啊，而且如果在Mmu上做了文章的VT还是扫不出来的），不过EPT对CPU和Bios要求高。 DEP检测是针对NX模拟硬断这类东西，现在已经不流行NX模拟硬断或者进行inlinehook了——新技术是利用Windows自己的内存管理上的一些特性工作，具体我也不是太清楚，我更喜欢用VT的方式。 2014-11-10 18:38 0
TaoMjkTx 雪币： 154 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	TaoMjkTx 47 楼下硬件断点VT挺好不过那种通过硬件断点来实现类似HOOK的商用外挂应该就没戏了，毕竟还是有机器不支持VT的 2014-11-12 21:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 48 楼直接拔高技术门槛高~ 2014-11-12 23:13 0
lordnone 雪币： 49 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lordnone 49 楼 1. SetThreadContext, ZwContinue 处做HOOK，，（如果还有其他改变Dr的地方请指点哦。。）把dr设0.。。。。。。。。。。。同时把4处地址写上 0xF1 2. 在KiUserDispatch.. 上，，判断到是那4处地址（需要-1），，就设置dr6.。。。貌似就可以了。。。 crc的话，另外处理就行。。 2014-11-13 04:13 0
轩辕追命雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	轩辕追命 50 楼这东西叫位域.... 2014-11-14 16:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复