[求助]*P的双机调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]*P的双机调试

发表于: 2016-10-15 10:29 9197

[求助]*P的双机调试

空白即是正义

2016-10-15 10:29

9197

众所周知 *p根据game的不同保护的强度也不同

这里研究的game是：NZ

对应的驱动名字：TesSafe.sys（之前有过TesMon.sys 听说是上了vt的）

然后根据过*p其他game双机调试的经验挂钩mdl映射替换全局变量该做的都做了

于是悲剧的一幕发生了 *p跳出了一个提示框应该是检测到了双机
为了验证是检测了双机而不是虚拟机常态/NODEBUG模式开启game正常进入那么就确定是双机被检测了

好了为了确定检测的是哪些地方我进行了如下操作：

1、更改KdEnterDebugger 将KdEnteredDebugger置0（怕他直接进行读取不考虑返回值）

2、将KdDebuggerEnabled置0

3、将KdPitchDebugger置1

4、将KiDebugRoutine指向KdpStub

以上操作完了自认为应该可以正常进入的我又被光速打脸依旧跳出提示框。。。

无解来求助了看来是不是得花功夫研究/DEBUG模式的启动流程啊好根据具体过程判断检测的地方

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

QQ截图20161015094710.png （22.34kb，5次下载）

收藏・5

免费・0

支持

最新回复 (36) 1 2 ▶
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 2 楼内核的东西有点难！ 2016-10-15 12:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 3 楼求大神啊 2016-10-15 19:33 0
迷失迭影雪币： 248 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	迷失迭影 4 楼我正在开挂玩逆战。。。 2016-10-15 22:12 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 5 楼 G是自己做的吗驱动是自己分析的吗求过双机思路啊看了一下也不是crc效验内核hook啊 2016-10-15 23:28 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼事实上挂根本不需要双机调试这种东西。。 2016-10-16 11:51 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 7 楼双机调试干保护逼格高 2016-10-16 22:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 8 楼确实是不懂怎么过双机了隔壁帖子加Q就是谈价虽然知道没有白吃的午餐作为一个穷屌丝还是很伤心的不过目前只剩了一个KdDebuggerNotPresent变量还没去看了难道是检测这个吗 2016-10-17 18:45 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 9 楼事实上硬件调试秒杀一切 2016-10-17 18:49 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 10 楼作为一个小菜实在是不懂高大上的东西能过这双机我就很满足了 2016-10-17 18:59 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 11 楼硬件调试有什么工具呢 2016-10-17 21:20 0
z许雪币： 1895 活跃值： (1642) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 12 楼 KeUpdateSystemTime 2016-10-17 21:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 13 楼听说有个HardICE 2016-10-17 23:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 14 楼咋整啊 2016-10-18 12:15 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 15 楼结贴历经1天自己解决了 2016-10-18 14:22 0
niceli 雪币： 273 活跃值： (452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 16 楼能否提示下我也遇到这样问题 10月前好好的现在不行了 2016-12-27 17:44 0
小程曦雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	小程曦 17 楼能否指点指点，我也遇到这问题 2017-3-4 11:45 0
AgpoeXX 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	AgpoeXX 18 楼空白大师，X64下双击调试，启动DXF登录器后，windbg无限断下，这里是哪里的问题？ 2017-7-2 11:22 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 19 楼 AgpoeXX 空白大师，X64下双击调试，启动DXF登录器后，windbg无限断下，这里是哪里的问题？你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我 2017-7-2 22:31 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 20 楼 hzqst 你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我自己设置flt except会卡除非你非常相信自己的cpu哈哈哈当然如果是自己动手脚就另当别论了 2017-7-3 11:07 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 21 楼空白即是正义自己设置flt except会卡除非你非常相信自己的cpu哈哈哈当然如果是自己动手脚就另当别论了是吗看来要去内核里强行撸掉single step和C000005了 2017-7-3 11:13 0
AgpoeXX 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	AgpoeXX 22 楼 hzqst 你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我潜水艇大哥的话我试了，启动TXP也无限断。。。至于对WINDBG动手脚这个，我还不知道怎么做。 2017-7-3 11:34 0
sqdwr 雪币： 20 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 23 楼挂钩mdl映射替换全局变量。老哥，这样换，不会被PG制裁吗？ 2018-2-1 17:34 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 24 楼 sqdwr 挂钩mdl映射替换全局变量。老哥，这样换，不会被PG制裁吗？调试模式下木有PG 2018-2-1 18:20 0
sqdwr 雪币： 20 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 25 楼空白即是正义调试模式下木有PG 大表哥，不开调试模式，游戏都起不来怎么破，压根不运行..... 2018-2-2 09:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

空白即是正义

发帖

120

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 2 楼内核的东西有点难！ 2016-10-15 12:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 3 楼求大神啊 2016-10-15 19:33 0
迷失迭影雪币： 248 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	迷失迭影 4 楼我正在开挂玩逆战。。。 2016-10-15 22:12 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 5 楼 G是自己做的吗驱动是自己分析的吗求过双机思路啊看了一下也不是crc效验内核hook啊 2016-10-15 23:28 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼事实上挂根本不需要双机调试这种东西。。 2016-10-16 11:51 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 7 楼双机调试干保护逼格高 2016-10-16 22:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 8 楼确实是不懂怎么过双机了隔壁帖子加Q就是谈价虽然知道没有白吃的午餐作为一个穷屌丝还是很伤心的不过目前只剩了一个KdDebuggerNotPresent变量还没去看了难道是检测这个吗 2016-10-17 18:45 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 9 楼事实上硬件调试秒杀一切 2016-10-17 18:49 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 10 楼作为一个小菜实在是不懂高大上的东西能过这双机我就很满足了 2016-10-17 18:59 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 11 楼硬件调试有什么工具呢 2016-10-17 21:20 0
z许雪币： 1895 活跃值： (1642) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 12 楼 KeUpdateSystemTime 2016-10-17 21:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 13 楼听说有个HardICE 2016-10-17 23:41 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 14 楼咋整啊 2016-10-18 12:15 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 15 楼结贴历经1天自己解决了 2016-10-18 14:22 0
niceli 雪币： 273 活跃值： (452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 16 楼能否提示下我也遇到这样问题 10月前好好的现在不行了 2016-12-27 17:44 0
小程曦雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	小程曦 17 楼能否指点指点，我也遇到这问题 2017-3-4 11:45 0
AgpoeXX 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	AgpoeXX 18 楼空白大师，X64下双击调试，启动DXF登录器后，windbg无限断下，这里是哪里的问题？ 2017-7-2 11:22 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 19 楼 AgpoeXX 空白大师，X64下双击调试，启动DXF登录器后，windbg无限断下，这里是哪里的问题？你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我 2017-7-2 22:31 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 20 楼 hzqst 你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我自己设置flt except会卡除非你非常相信自己的cpu哈哈哈当然如果是自己动手脚就另当别论了 2017-7-3 11:07 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 21 楼空白即是正义自己设置flt except会卡除非你非常相信自己的cpu哈哈哈当然如果是自己动手脚就另当别论了是吗看来要去内核里强行撸掉single step和C000005了 2017-7-3 11:13 0
AgpoeXX 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	AgpoeXX 22 楼 hzqst 你启动tgp也会有这个问题，然而实际上只要改改windbg的设置就好了，不用谢我潜水艇大哥的话我试了，启动TXP也无限断。。。至于对WINDBG动手脚这个，我还不知道怎么做。 2017-7-3 11:34 0
sqdwr 雪币： 20 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 23 楼挂钩mdl映射替换全局变量。老哥，这样换，不会被PG制裁吗？ 2018-2-1 17:34 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 24 楼 sqdwr 挂钩mdl映射替换全局变量。老哥，这样换，不会被PG制裁吗？调试模式下木有PG 2018-2-1 18:20 0
sqdwr 雪币： 20 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 25 楼空白即是正义调试模式下木有PG 大表哥，不开调试模式，游戏都起不来怎么破，压根不运行..... 2018-2-2 09:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复