首页
社区
课程
招聘
[求助]某P的双机检测问题
发表于: 2016-4-8 23:42 4637

[求助]某P的双机检测问题

2016-4-8 23:42
4637
win764位下,用windbg发现tp不断检测 KdDebuggerNotPresent这个值,调试状态下为0。在WINDBG里改KdDebuggerNotPresent,我用ed KdDebuggerNotPresent 1 ,在查看,还是0,竟然修改不了。
然后想通过改kdenterdebugger的方式,hook IoAllocateMdl方式过,经调试访问KdDebuggerNotPresent 变量的好像不需要通过IoAllocateMdl,求指点

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
重载重载重载
2016-4-9 12:45
0
雪    币: 135
活跃值: (2042)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
什么重载?
2016-4-9 13:27
0
雪    币: 58
活跃值: (11)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
4
最近也在研究,win7 32然后在KdEnteredDebugger那里断下来,然后在运行就gg了。。
2016-4-11 00:59
0
雪    币: 135
活跃值: (2042)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
hook IoAllocateMdl 就行
2016-4-11 22:50
0
雪    币: 28
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
写个硬编码自己改
2016-4-11 23:13
0
雪    币: 58
活跃值: (11)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
7
就是hook了,然后断在自己的ioallocatemdl里面,windbg通信的几个kddebuggerenabled,pitch也改了,kddisabledebugger也直接返回了..,在f9就挂了
2016-4-12 12:22
0
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
围观楼主
2016-4-12 12:29
0
雪    币: 89
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
回个看看
2016-4-12 13:15
0
雪    币: 70
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
什么游戏
2016-4-12 13:20
0
雪    币: 135
活跃值: (2042)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
直接改1,没效果啊
2016-4-13 09:13
0
游客
登录 | 注册 方可回帖
返回
//