-
-
[原创]这两天对某P双机调试的学习及成果
-
发表于: 2015-1-1 00:20
-
首先感谢15PB各位老师给予我学习的帮助
,通过在15PB的学习我也感觉到了自己的进步
,算是打个广告,嘿嘿
下面进入正题,新手首次发这种帖子,忘大神高抬贵手~
关于*P双机调试的学习
一:相关基础知识:
根据软件调试这本书上说的,Windows启动过程如下图:
系统一共调用了两次KdInitSystem()函数。
第一次调用KdInitSystem会初始化一下全局变量:
1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。
2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设置为真。
3.KiDebugRoutine:函数指针类型,用来记录内核调试引擎的异常处理回调函数,当内核调试引擎活动时,只想KdpTrap函数,否则指向KdpStub函数。
4.KdpBreakpointTable:结构数组类型,用来记录代码断点,每一个元素为BREAKPOINT_ENTRY结构,用来描述一个断点,包括断点地址。
5.
可见KdDebuggerNotPresent也是一个判断是否是内核调试状态的标志。
6.根据先前大牛写的这个帖子http://bbs.pediy.com/showthread.php?t=186091
讲过KdEnteredDebugger也是一个判断是否为内核调试状态的标志。
7.如果是内核调试状态,KiDebugRoutine指向KdpTrap函数,如果不是内核调试状态则指向KdpStub函数。
综合上述,上述7点中的任何一点可以判断是否处于内核调试状态。
二:接下来看一下*P对内核做的手脚。
1.解决*P加载蓝屏的方法:
根据上面提到的帖子上有给出解决方案,因为*P会访问KdEnteredDebugger的内容所以Hook IoAllocMdl,当访问KdEnteredDebugger的时候让他去访问其他始终为0的地址。具体可以看上面帖子的地址。
2.解决完1之后,在虚拟机启动*P就不会蓝屏了,*P会有两个IAT Hook 两个通讯函数:KdSendPacket 和KdReceivePacket,反汇编一下这两个函数:
解决方案:
解析内核文件的PE结构,获取两个发送函数的地址,得到地之后把地址赋值给自己驱动的全局变量,然后用全局变量替换这两个jmp的地址。详见源码。
3.众所周知,*P是调用KdDisableDebugger函数来禁止内核调试的。所以下断KdDisableDebugger。并将KdDisableDebugger的头部改成ret:
运行*P后,Tp执行到KdDisableDebugger时就会断下来,单步走两步,发现了*P的第一个调用KdDisableDebugger的函数:
直接jmp 到958aea2e
这里的[edi] = 8416cd2c ==> KdDebuggerEnabled
这是上面7条中之一,检测是否是内核调试的标志。
我尝试着将比较的0改为1,然后G~
4.接下来进入了第二个调用KdDisableDebugger的地方:
根据分析查看[958E4278h]这里存放的是KiDebugRoutine函数地址,
[958E427Ch]存放的是KdpStub地址
,根据汇编可知:
*P取出KiDebugRoutine地址,然后将KdpStub赋值给KiDebugRoutine,之后返回。
解决方案:
修改[958E427Ch]中的内容为KdpTrap地址
Go起来~
5.来到了第三处调用KdDisableDebugger的地方:
这里这个CALL貌似是IAT HOOK 两个通讯函数的过程,因为push 的两个地址内容是
正是IAT HOOK *P自己实现的函数。
三:综合一下整个过程。重新整理一下所有解决方案。就是替换上述基础知识中的7个内核变量。
首先打开IDA,搜索全部KdDeBuggerEnable和KdPitchDebugger调用:分别有下面几处:
将几处分别替换成我们驱动中定义的全局变量就OK。详见源码~
上述几处修改完毕之后,双机调试就可以正常下断了~
最后说说此次更新后的*P,TesSafe.sys并不是真正的驱动,而是一个加载工具,它NEW出来一片新的内存,新内存才是真正功能函数。那么如何寻找真正的*P驱动呢,我用的方法是找到*P HOOK 的NtReadVirtualMemory 地址,然后向上搜索PE特征~
补充一下获取*P真正基址的方法: HOOK KdDisableDebugger
因为KdDisableDebugger 不止一次会被调用,所以要做好处理~
PS:代码只是测试写的,没有好好写,大家凑合看个思路就好了~
顺便给自己博客打个广告:http://blog.csdn.net/zfdyq0
最后上个图~祝大家新年快乐~
重新整理了一下代码,Win7 32直接加载驱动就能用
其他系统自己调一下细节即可~
TpTest.rar
,通过在15PB的学习我也感觉到了自己的进步,算是打个广告,嘿嘿下面进入正题,新手首次发这种帖子,忘大神高抬贵手~
关于*P双机调试的学习
一:相关基础知识:
根据软件调试这本书上说的,Windows启动过程如下图:
系统一共调用了两次KdInitSystem()函数。
第一次调用KdInitSystem会初始化一下全局变量:
1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。
2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设置为真。
3.KiDebugRoutine:函数指针类型,用来记录内核调试引擎的异常处理回调函数,当内核调试引擎活动时,只想KdpTrap函数,否则指向KdpStub函数。
4.KdpBreakpointTable:结构数组类型,用来记录代码断点,每一个元素为BREAKPOINT_ENTRY结构,用来描述一个断点,包括断点地址。
5.
可见KdDebuggerNotPresent也是一个判断是否是内核调试状态的标志。
6.根据先前大牛写的这个帖子http://bbs.pediy.com/showthread.php?t=186091
讲过KdEnteredDebugger也是一个判断是否为内核调试状态的标志。
7.如果是内核调试状态,KiDebugRoutine指向KdpTrap函数,如果不是内核调试状态则指向KdpStub函数。
综合上述,上述7点中的任何一点可以判断是否处于内核调试状态。
二:接下来看一下*P对内核做的手脚。
1.解决*P加载蓝屏的方法:
根据上面提到的帖子上有给出解决方案,因为*P会访问KdEnteredDebugger的内容所以Hook IoAllocMdl,当访问KdEnteredDebugger的时候让他去访问其他始终为0的地址。具体可以看上面帖子的地址。
2.解决完1之后,在虚拟机启动*P就不会蓝屏了,*P会有两个IAT Hook 两个通讯函数:KdSendPacket 和KdReceivePacket,反汇编一下这两个函数:
解决方案:
解析内核文件的PE结构,获取两个发送函数的地址,得到地之后把地址赋值给自己驱动的全局变量,然后用全局变量替换这两个jmp的地址。详见源码。
3.众所周知,*P是调用KdDisableDebugger函数来禁止内核调试的。所以下断KdDisableDebugger。并将KdDisableDebugger的头部改成ret:
运行*P后,Tp执行到KdDisableDebugger时就会断下来,单步走两步,发现了*P的第一个调用KdDisableDebugger的函数:
直接jmp 到958aea2e
这里的[edi] = 8416cd2c ==> KdDebuggerEnabled
这是上面7条中之一,检测是否是内核调试的标志。
我尝试着将比较的0改为1,然后G~
4.接下来进入了第二个调用KdDisableDebugger的地方:
根据分析查看[958E4278h]这里存放的是KiDebugRoutine函数地址,
[958E427Ch]存放的是KdpStub地址
,根据汇编可知:
*P取出KiDebugRoutine地址,然后将KdpStub赋值给KiDebugRoutine,之后返回。
解决方案:
修改[958E427Ch]中的内容为KdpTrap地址
Go起来~
5.来到了第三处调用KdDisableDebugger的地方:
这里这个CALL貌似是IAT HOOK 两个通讯函数的过程,因为push 的两个地址内容是
正是IAT HOOK *P自己实现的函数。
三:综合一下整个过程。重新整理一下所有解决方案。就是替换上述基础知识中的7个内核变量。
首先打开IDA,搜索全部KdDeBuggerEnable和KdPitchDebugger调用:分别有下面几处:
//1. KeUpdateSystemTime // //nt!KeUpdateSystemTime + 0x417: //84096d65 33c9 xor ecx, ecx //84096d67 8d542420 lea edx, [esp + 20h] // //nt!KeUpdateSystemTime + 0x41d : //84096d6b 803d2c1d188400 cmp byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0 <--ul_KdDebuggerEnabled_1 //84096d72 7464 je nt!KeUpdateSystemTime + 0x48a (84096dd8) // // //2. KeUpdateRunTime // //nt!KeUpdateRunTime + 0x149: //840970c2 803d2c1d188400 cmp byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0 <--ul_KdDebuggerEnabled_2 //840970c9 7412 je nt!KeUpdateRunTime + 0x164 (840970dd) // //3. KdCheckForDebugBreak // //kd > uf kdcheckfordebugbreak //nt!KdCheckForDebugBreak: //840970e9 803d275d148400 cmp byte ptr[nt!KdPitchDebugger(84145d27)], 0 <--ul_KdPitchDebugger_1 //840970f0 7519 jne nt!KdCheckForDebugBreak + 0x22 (8409710b) // //nt!KdCheckForDebugBreak + 0x9 : //840970f2 803d2c1d188400 cmp byte ptr[nt!KdDebuggerEnabled(84181d2c)], 0 <--ul_KdDebuggerEnabled_3 //840970f9 7410 je nt!KdCheckForDebugBreak + 0x22 (8409710b) // // //4. KdPollBreakIn // //kd > uf KdPollBreakIn //nt!KdPollBreakIn: //8409711f 8bff mov edi, edi //84097121 55 push ebp //84097122 8bec mov ebp, esp //84097124 51 push ecx //84097125 53 push ebx //84097126 33db xor ebx, ebx //84097128 381d275d1484 cmp byte ptr[nt!KdPitchDebugger(84145d27)], bl <--ul_KdPitchDebugger_2 //8409712e 7407 je nt!KdPollBreakIn + 0x18 (84097137) // //nt!KdPollBreakIn + 0x11: //84097130 32c0 xor al, al //84097132 e9d2000000 jmp nt!KdPollBreakIn + 0xea (84097209) // //nt!KdPollBreakIn + 0x18 : //84097137 885dff mov byte ptr[ebp - 1], bl //8409713a 381d2c1d1884 cmp byte ptr[nt!KdDebuggerEnabled(84181d2c)], bl <--ul_KdDebuggerEnabled_4 //84097140 0f84c0000000 je nt!KdPollBreakIn + 0xe7 (84097206)
将几处分别替换成我们驱动中定义的全局变量就OK。详见源码~
上述几处修改完毕之后,双机调试就可以正常下断了~
最后说说此次更新后的*P,TesSafe.sys并不是真正的驱动,而是一个加载工具,它NEW出来一片新的内存,新内存才是真正功能函数。那么如何寻找真正的*P驱动呢,我用的方法是找到*P HOOK 的NtReadVirtualMemory 地址,然后向上搜索PE特征~
补充一下获取*P真正基址的方法: HOOK KdDisableDebugger
__asm
{
push eax;
push ebx;
mov eax, [ebp + 4];
add eax, 4;
mov ebx, [eax];
mov ul_ret, ebx;
pop ebx;
pop eax;
}
ul_TP_RelBaseAddress = ul_ret - 0x47277;
DbgPrint("Tp 真正加载地址:%p\n", ul_TP_RelBaseAddress);
因为KdDisableDebugger 不止一次会被调用,所以要做好处理~
PS:代码只是测试写的,没有好好写,大家凑合看个思路就好了~
顺便给自己博客打个广告:http://blog.csdn.net/zfdyq0
最后上个图~祝大家新年快乐~
重新整理了一下代码,Win7 32直接加载驱动就能用
其他系统自己调一下细节即可~
TpTest.rar
最后于 2019-9-29 14:04
被kanxue编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我感觉,一般可以先看一下TesSafe.sys的导入表,看看使用了哪些函数,如图:
 然后可以猜测,为了安全访问内核的地址内容,会创建一个MDL进行操作,进而可以猜测HOOK IoAllocateMdl 函数。总之,实践出真理~
|
|
|
[QUOTE=zfdyq;1341924]我感觉,一般可以先看一下TesSafe.sys的导入表,看看使用了哪些函数,如图:
然后可以猜测,为了安全访问内核的地址内容,会创建一个MDL进行操作,进而可以猜测HOOK IoAllocateMdl 函数。总之,实践出真理~ [/QUOTE]多谢 朋友热心帮助 感激不尽 |
|
|
[QUOTE=zfdyq;1341924]我感觉,一般可以先看一下TesSafe.sys的导入表,看看使用了哪些函数,如图:
然后可以猜测,为了安全访问内核的地址内容,会创建一个MDL进行操作,进而可以猜测HOOK IoAllocateMdl 函数。总之,实践出真理~ [/QUOTE] 楼主这个工具叫什么,可否说下名字
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LoadPE
|
