[分享]有很多时间系列：一种故意调试的反调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]有很多时间系列：一种故意调试的反调试

发表于: 2018-4-11 20:59 11430

[分享]有很多时间系列：一种故意调试的反调试

cvcvxk

2018-4-11 20:59

11430

//来自神秘驱动的野路子

原理：人工制造一个DebugObject，但是Flag无效，正常附加就别想正常附加了。

直接上代码

ULONG get_debug_offset()
{
	auto pAddress = ddk::util::get_proc_address("PsGetProcessDebugPort");
	if (pAddress)
	{
		return *(ULONG*)((ULONG_PTR)pAddress + 3);
	}
	return 0;
}
void anti_dbg_process(PEPROCESS process)
{
	OBJECT_ATTRIBUTES oa = {};
	ddk::ntos::PDEBUG_OBJECT DebugObject = nullptr;
	InitializeObjectAttributes(&oa, NULL, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	auto ns = ObCreateObject(KernelMode, *IoFileObjectType, &oa, KernelMode, NULL, sizeof(FILE_OBJECT), 0, 0, (PVOID *)&DebugObject);
	if (NT_SUCCESS(ns))
	{
		ObReferenceObject(DebugObject);
		ObReferenceObject(DebugObject);
		ExInitializeFastMutex(&DebugObject->Mutex);
		InitializeListHead(&DebugObject->EventList);
		KeInitializeEvent(&DebugObject->EventsPresent, NotificationEvent, FALSE);
		DebugObject->KillProcessOnExit = 1;
		DebugObject->DebuggerInactive = 1;
		auto object_header = reinterpret_cast<ddk::ntos::POBJECT_HEADER>((ULONG_PTR)DebugObject - 0x30);
		//由于这是个FileObject所以它还可以有owner，有了owner它就独占了，于是谁也打不开了
		object_header->ExclusiveObject = 1;
		auto pExclusiveInfo = reinterpret_cast<ddk::ntos::POBJECT_HEADER_PROCESS_INFO>((ULONG_PTR)object_header - 0x30);
		pExclusiveInfo->ExclusiveProcess = (ddk::ntos::_EPROCESS *)PsInitialSystemProcess;
		object_header->KernelOnlyAccess = 1;//禁止应用层打开对象
		auto patchoffset = get_debug_offset();
		if (patchoffset)
		{
			auto pDebug = (PVOID *)((PUCHAR)process + patchoffset);
			*pDebug = (PVOID)DebugObject;
		}
		return;
	}
	LOG_DEBUG("CreateDebug %x\r\n", ns);
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-4-11 21:00 被cvcvxk编辑，原因：

#系统底层 #调试逆向 #其他内容

收藏・35

免费・0

支持

最新回复 (19)
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 2 楼有人说过他不弄了的。哈哈 2018-4-11 21:21 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 3 楼我是谁！有人说过他不弄了的。哈哈顺手还原野路子的反调试而已。现在显卡WDDM多机同步才是我的真爱。 2018-4-11 21:30 0
又出bug了雪币： 368 活跃值： (431) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 95 粉丝 31 关注私信	又出bug了 2 4 楼最近正在收集这块的资料，雪中送炭。亲下楼主 2018-4-11 23:26 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼这个不是和AccessMask清零差不多吗 2018-4-12 20:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼 hzqst 这个不是和AccessMask清零差不多吗 AccessMask影响太大，这个更干净一些，只影响特定的进程。最后于 2018-4-13 09:50 被cvcvxk编辑，原因： 2018-4-13 09:49 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 7 楼 cvcvxk 顺手还原野路子的反调试而已。现在显卡WDDM多机同步才是我的真爱。在国外网站学的吧 2018-4-13 14:33 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 ayunaa 在国外网站学的吧只有天朝才有这么叼的野路子，老外天天搞个CallBack和Miniflt就觉得自己很厉害了。 2018-4-13 16:49 0
活的坚持雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	活的坚持 9 楼牛X，粗暴，野性。如此好贴 2018-4-26 16:26 0
zyla 雪币： 45 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	zyla 10 楼小白求问，这个是需要加驱才行的吗。 2018-4-26 16:45 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 11 楼 zyla 小白求问，这个是需要加驱才行的吗。看到直接取"PsGetProcessDebugPort"地址,就知道肯定是驱动了 2018-4-26 21:43 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 12 楼学习了 2018-4-30 16:10 0
今天不吃面雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	今天不吃面 13 楼麻烦一下，请教一个问题 auto pAddress = ddk::util::get_proc_address("PsGetProcessDebugPort"); if (pAddress) { return (ULONG)((ULONG_PTR)pAddress + 3); } 对内核调试不熟悉，这里一段看得不是很明白，获取了PsGetProcessDebugPort函数的地址，然后获取该地址偏移24处的一个ULONG？这个数字是啥？DebugPort字段在EPROCESS中的偏移？如果是这样的话，后面那段直接写process->DebugProt = DebugObject不是更简单吗最后于 2018-5-3 16:33 被今天不吃面编辑，原因： 2018-5-3 16:24 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 14 楼今天不吃面麻烦一下，请教一个问题        auto  pAddress  =  ... process->DebugProt = DebugObject当然可以，前提是你有这个系统上EPROCESS完整的结构，可惜你并没有 2018-5-4 09:44 0
今天不吃面雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	今天不吃面 15 楼 hzqst process->DebugProt = DebugObject当然可以，前提是你有这个系统上EPROCESS完整的结构，可惜你并没有多谢 2018-5-4 12:45 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 16 楼 if (pAddress) { return (ULONG)((ULONG_PTR)pAddress + 3); } 这种地方比较喜欢用反汇编引擎解析指令来定位，这样即使系统变了，也不用改。 2018-5-5 17:19 0
麻木的时间雪币： 15 活跃值： (3576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 85 粉丝 16 关注私信	麻木的时间 17 楼 v 2019-1-21 22:46 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 18 楼今天不吃面麻烦一下，请教一个问题        auto  pAddress  =  ... 偏移是3 不是24。 2019-3-19 18:18 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 19 楼你这代码写的有问题吧？(ULONG_PTR)pAddress + 3 2019-3-19 18:32 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 20 楼 cvcvxk 只有天朝才有这么叼的野路子，老外天天搞个CallBack和Miniflt就觉得自己很厉害了。确定说的不是反话吗 2022-6-29 00:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 2 楼有人说过他不弄了的。哈哈 2018-4-11 21:21 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 3 楼我是谁！有人说过他不弄了的。哈哈顺手还原野路子的反调试而已。现在显卡WDDM多机同步才是我的真爱。 2018-4-11 21:30 0
又出bug了雪币： 368 活跃值： (431) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 95 粉丝 31 关注私信	又出bug了 2 4 楼最近正在收集这块的资料，雪中送炭。亲下楼主 2018-4-11 23:26 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼这个不是和AccessMask清零差不多吗 2018-4-12 20:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼 hzqst 这个不是和AccessMask清零差不多吗 AccessMask影响太大，这个更干净一些，只影响特定的进程。最后于 2018-4-13 09:50 被cvcvxk编辑，原因： 2018-4-13 09:49 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 7 楼 cvcvxk 顺手还原野路子的反调试而已。现在显卡WDDM多机同步才是我的真爱。在国外网站学的吧 2018-4-13 14:33 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 ayunaa 在国外网站学的吧只有天朝才有这么叼的野路子，老外天天搞个CallBack和Miniflt就觉得自己很厉害了。 2018-4-13 16:49 0
活的坚持雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	活的坚持 9 楼牛X，粗暴，野性。如此好贴 2018-4-26 16:26 0
zyla 雪币： 45 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	zyla 10 楼小白求问，这个是需要加驱才行的吗。 2018-4-26 16:45 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 11 楼 zyla 小白求问，这个是需要加驱才行的吗。看到直接取"PsGetProcessDebugPort"地址,就知道肯定是驱动了 2018-4-26 21:43 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 12 楼学习了 2018-4-30 16:10 0
今天不吃面雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	今天不吃面 13 楼麻烦一下，请教一个问题 auto pAddress = ddk::util::get_proc_address("PsGetProcessDebugPort"); if (pAddress) { return (ULONG)((ULONG_PTR)pAddress + 3); } 对内核调试不熟悉，这里一段看得不是很明白，获取了PsGetProcessDebugPort函数的地址，然后获取该地址偏移24处的一个ULONG？这个数字是啥？DebugPort字段在EPROCESS中的偏移？如果是这样的话，后面那段直接写process->DebugProt = DebugObject不是更简单吗最后于 2018-5-3 16:33 被今天不吃面编辑，原因： 2018-5-3 16:24 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 14 楼今天不吃面麻烦一下，请教一个问题        auto  pAddress  =  ... process->DebugProt = DebugObject当然可以，前提是你有这个系统上EPROCESS完整的结构，可惜你并没有 2018-5-4 09:44 0
今天不吃面雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	今天不吃面 15 楼 hzqst process->DebugProt = DebugObject当然可以，前提是你有这个系统上EPROCESS完整的结构，可惜你并没有多谢 2018-5-4 12:45 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 16 楼 if (pAddress) { return (ULONG)((ULONG_PTR)pAddress + 3); } 这种地方比较喜欢用反汇编引擎解析指令来定位，这样即使系统变了，也不用改。 2018-5-5 17:19 0
麻木的时间雪币： 15 活跃值： (3576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 85 粉丝 16 关注私信	麻木的时间 17 楼 v 2019-1-21 22:46 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 18 楼今天不吃面麻烦一下，请教一个问题        auto  pAddress  =  ... 偏移是3 不是24。 2019-3-19 18:18 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 19 楼你这代码写的有问题吧？(ULONG_PTR)pAddress + 3 2019-3-19 18:32 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 20 楼 cvcvxk 只有天朝才有这么叼的野路子，老外天天搞个CallBack和Miniflt就觉得自己很厉害了。确定说的不是反话吗 2022-6-29 00:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复