首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]检测硬断 有哪些办法?
发表于: 2017-6-25 20:10 5086

[求助]检测硬断 有哪些办法?

guotouck 活跃值
2017-6-25 20:10
5086

R3层的

没驱动 没钩子;

一下硬件断就非法了 他怎么检测的。

NtGetContextThread 占坑  异常   都看了 没有了啊



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
白菜大哥
雪    币: 12502
活跃值: (3058)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
不需要检测,只需要,把dxr寄存器当成通用寄存器用,他要是用来做硬断,各种问题
2017-6-25 20:55
0
guotouck
雪    币: 35
活跃值: (612)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
白菜大哥 不需要检测,只需要,把dxr寄存器当成通用寄存器用,他要是用来做硬断,各种问题
那不就是占坑了,但看线程了  dr0-dr7  都是0  没用
2017-6-25 22:52
0
哇咔咔zs
雪    币: 130
活跃值: (1005)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
NtSetInformationThread  HideDebug什么来着,X64很多这种反断点  没办法,只能转到32调试去
32  直接SOD就解决了
2017-6-26 00:37
0
guotouck
雪    币: 35
活跃值: (612)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
哇咔咔zs NtSetInformationThread HideDebug什么来着,X64很多这种反断点 没办法,只能转到32调试去 32 直接SOD就解决了
知道怎么检测了          看到  hzt  说的话  硬断只需要在VEH或者UEH里做就行了  ;
可怎么反呢。。怎么找到他  VEH异常处理的函数地址
2017-6-26 00:50
0
哇咔咔zs
雪    币: 130
活跃值: (1005)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6

DWORD dwKiUserExceptionDispatcher=(DWORD)::GetProcAddress(::GetModuleHandle("ntdll.dll"),"KiUserExceptionDispatcher");

2017-6-26 02:11
0
mikeer
雪    币: 104
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
这个很好判断,看看dr0到dr3是否被占用,清零看看是否会异常,用ce来操作,如果不行,应该就是r3在检测,看应用层即可。
2017-6-26 19:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//