[原创]这两天对某P双机调试的学习及成果-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]这两天对某P双机调试的学习及成果

发表于: 2015-1-1 00:20 48257

[原创]这两天对某P双机调试的学习及成果

zfdyq

2015-1-1 00:20

48257

可见KdDebuggerNotPresent也是一个判断是否是内核调试状态的标志。

6.根据先前大牛写的这个帖子http://bbs.pediy.com/showthread.php?t=186091
讲过KdEnteredDebugger也是一个判断是否为内核调试状态的标志。

7.如果是内核调试状态，KiDebugRoutine指向KdpTrap函数，如果不是内核调试状态则指向KdpStub函数。

综合上述，上述7点中的任何一点可以判断是否处于内核调试状态。

二：接下来看一下*P对内核做的手脚。

1.解决*P加载蓝屏的方法：

根据上面提到的帖子上有给出解决方案，因为*P会访问KdEnteredDebugger的内容所以Hook IoAllocMdl，当访问KdEnteredDebugger的时候让他去访问其他始终为0的地址。具体可以看上面帖子的地址。

2.解决完1之后，在虚拟机启动*P就不会蓝屏了，*P会有两个IAT Hook 两个通讯函数：KdSendPacket 和KdReceivePacket，反汇编一下这两个函数：

解决方案：
解析内核文件的PE结构，获取两个发送函数的地址，得到地之后把地址赋值给自己驱动的全局变量，然后用全局变量替换这两个jmp的地址。详见源码。

3.众所周知，*P是调用KdDisableDebugger函数来禁止内核调试的。所以下断KdDisableDebugger。并将KdDisableDebugger的头部改成ret：

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-9-29 14:04 被kanxue编辑，原因：

上传的附件：

TpTest.rar （17.37kb，1457次下载）

收藏・162

免费・5

支持

最新回复 (81) 1 2 3 4 ▶
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 2 楼先顶后阅，此帖会火我会乱说？ 2015-1-1 00:50 0
LIwianwpIO 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	LIwianwpIO 3 楼看着很强大，前排学习。 2015-1-1 01:04 0
stft 雪币： 5 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	stft 4 楼不错啊，很好的贴纸 2015-1-1 01:38 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 5 楼火前留个爪 2015-1-1 06:28 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 6 楼火帖，学习 2015-1-1 10:10 0
heavenbase 雪币： 4 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	heavenbase 7 楼新年新气象 2015-1-1 10:25 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 8 楼恭喜楼主，贺喜楼主变牛人了，膜拜 2015-1-1 10:52 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 9 楼火前留名，膜拜大神。 2015-1-1 10:52 0
zhaoed 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	zhaoed 10 楼此贴必火。 2015-1-1 10:57 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 11 楼厉害哦！！顶了，坐等加精诶 2015-1-1 11:06 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 12 楼 why are you so diao ? 2015-1-1 14:13 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 13 楼问下楼主以前那个帖子也看过但是一直不知道 *P会访问KdEnteredDebugger的内容所以Hook IoAllocMdl 这是为什么下KdEnteredDebugger硬件访问断点 F5会蓝屏如何来定位这个检测的流程代码呢？ 2015-1-1 14:52 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 14 楼恭喜楼主，新年快乐。 2015-1-1 16:25 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 15 楼新年快乐了 2015-1-1 17:12 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 16 楼感谢分享,支持有码 2015-1-1 18:37 0
youyoukaka 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	youyoukaka 17 楼看完楼主的这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横pediy多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子.楼主,是你让我深深地理解了'人外有人,天外有天'这句话.谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这网上少有的帖子.但是我还是回复了,因为我觉得如果不能在如此精彩的帖子后面留下自己的网名,那我死也不会瞑目的!能够在如此精彩的帖子后面留下自己的网名是多么骄傲的一件事啊!楼主,请原谅我的自私!我知道无论用多么华丽的辞藻来形容楼主您帖子的精彩程度都是不够的,都是虚伪的,所以我只想说一句:您的帖子太好了! 2015-1-1 19:49 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 18 楼我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~ 上传的附件： QQ截图20150101200310.jpg （135.45kb，17次下载） 2015-1-1 20:05 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 19 楼 [QUOTE=zfdyq;1341924]我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~[/QUOTE] 多谢朋友热心帮助感激不尽 2015-1-1 22:41 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 20 楼 [QUOTE=zfdyq;1341924]我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~[/QUOTE] 楼主这个工具叫什么，可否说下名字 2015-1-1 23:39 0
friendanx 雪币： 7885 活跃值： (2285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 21 楼这个必须支持，感谢分享。 2015-1-2 00:35 0
hei鹰雪币： 45 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	hei鹰 22 楼膜拜楼主大神 2015-1-2 08:36 0
Qwanna 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	Qwanna 23 楼 diao zha tian 2015-1-2 09:27 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 24 楼火前留名，膜拜大神。 2015-1-2 09:50 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 LoadPE 2015-1-2 10:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zfdyq

发帖

186

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (81) 1 2 3 4 ▶
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 2 楼先顶后阅，此帖会火我会乱说？ 2015-1-1 00:50 0
LIwianwpIO 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	LIwianwpIO 3 楼看着很强大，前排学习。 2015-1-1 01:04 0
stft 雪币： 5 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	stft 4 楼不错啊，很好的贴纸 2015-1-1 01:38 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 5 楼火前留个爪 2015-1-1 06:28 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 6 楼火帖，学习 2015-1-1 10:10 0
heavenbase 雪币： 4 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	heavenbase 7 楼新年新气象 2015-1-1 10:25 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 8 楼恭喜楼主，贺喜楼主变牛人了，膜拜 2015-1-1 10:52 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 9 楼火前留名，膜拜大神。 2015-1-1 10:52 0
zhaoed 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	zhaoed 10 楼此贴必火。 2015-1-1 10:57 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 11 楼厉害哦！！顶了，坐等加精诶 2015-1-1 11:06 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 12 楼 why are you so diao ? 2015-1-1 14:13 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 13 楼问下楼主以前那个帖子也看过但是一直不知道 *P会访问KdEnteredDebugger的内容所以Hook IoAllocMdl 这是为什么下KdEnteredDebugger硬件访问断点 F5会蓝屏如何来定位这个检测的流程代码呢？ 2015-1-1 14:52 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 14 楼恭喜楼主，新年快乐。 2015-1-1 16:25 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 15 楼新年快乐了 2015-1-1 17:12 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 16 楼感谢分享,支持有码 2015-1-1 18:37 0
youyoukaka 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	youyoukaka 17 楼看完楼主的这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横pediy多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子.楼主,是你让我深深地理解了'人外有人,天外有天'这句话.谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这网上少有的帖子.但是我还是回复了,因为我觉得如果不能在如此精彩的帖子后面留下自己的网名,那我死也不会瞑目的!能够在如此精彩的帖子后面留下自己的网名是多么骄傲的一件事啊!楼主,请原谅我的自私!我知道无论用多么华丽的辞藻来形容楼主您帖子的精彩程度都是不够的,都是虚伪的,所以我只想说一句:您的帖子太好了! 2015-1-1 19:49 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 18 楼我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~ 上传的附件： QQ截图20150101200310.jpg （135.45kb，17次下载） 2015-1-1 20:05 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 19 楼 [QUOTE=zfdyq;1341924]我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~[/QUOTE] 多谢朋友热心帮助感激不尽 2015-1-1 22:41 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 20 楼 [QUOTE=zfdyq;1341924]我感觉，一般可以先看一下TesSafe.sys的导入表，看看使用了哪些函数，如图：然后可以猜测，为了安全访问内核的地址内容，会创建一个MDL进行操作，进而可以猜测HOOK IoAllocateMdl 函数。总之，实践出真理~[/QUOTE] 楼主这个工具叫什么，可否说下名字 2015-1-1 23:39 0
friendanx 雪币： 7885 活跃值： (2285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 21 楼这个必须支持，感谢分享。 2015-1-2 00:35 0
hei鹰雪币： 45 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	hei鹰 22 楼膜拜楼主大神 2015-1-2 08:36 0
Qwanna 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	Qwanna 23 楼 diao zha tian 2015-1-2 09:27 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 24 楼火前留名，膜拜大神。 2015-1-2 09:50 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 LoadPE 2015-1-2 10:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复