-
-
[讨论]关于某P的硬断占坑的研究。
-
发表于:
2015-4-27 16:42
14483
-
目前发现最新版某P已经大大加强了防护(只不过是只检测,但不搞你。。)
使用的方法就是这个
硬断占坑
首先会通过5个线程(为什么不是4个?)不断制造单步异常。分别是4个Dr地址和一个常规地址。
然后必须由他自己的异常处理机制KiUserExceptionDispatcher处理,否则就自杀。
往下跟发现他所谓的处理机制就是根本不处理,就是直接把EIP改成新的EIP,然后再ZwContinue。
一下开始正式过招。
---------第一回合------------
【我方】:结束这5个线程。
【对方】:再开启2个线程。
【我方】:再结束这2个线程。
【对方】:再开启1个线程。
【我方】:再结束这1个线程。
【对方】:改由主线程制造异常。
【我方】:吐血而亡。
---------第二回合------------
【我方】:hook KiUserExceptionDispatcher,Dr清0。
【对方】:自杀。
【我方】:判断是这5个地址,就手动更改为正确的EIP。然后Dr清0。清除异常。
【对方】:自杀。
【我方】:判断是这个5个地址,直接组建ContextRecord,然后ZwContinue。不走他异常处理机制。
【对方】:少侠,你好厉害,我服了!!!(十几秒后)自杀身亡!!!!
【我方】:吐血而亡。
---------第三回合------------
【我方】:hook NtSetContextThread
【对方】:无视。
【我方】:bp NtSetContextThread
【对方】:无视。
【我方】:adslkfaklsflasdjfadjslkflasjflkasjdflkasjlfdkjqeriowrhwljkrweuajweflkjaslkdfjklajfkljasdklfasfjkasdfkl!!!
=!=!=!=!=!=!=!=!=!=!=!=!=!=!=!=!=!=!
用时一周,三局三败。
其他尝试不计其数,均失败告终。
好在某P现在只是检测,但是没封我,没让我蓝屏。我真是感谢他八辈祖宗。。。
你们呢,有办法战胜这邪恶而强大的敌人吗?
如有前辈方便指引一二,感激不尽。
如无方法,大家讨论一二也可,就当那夕阳西下的高山上,余影幢幢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
