[求助]自建调试体系躲过断口清零只改NtDebugActiveProcess 这个函数里的所有偏移吗-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]自建调试体系躲过断口清零只改NtDebugActiveProcess 这个函数里的所有偏移吗

发表于: 2019-1-27 11:54 5510

[求助]自建调试体系躲过断口清零只改NtDebugActiveProcess 这个函数里的所有偏移吗

奥奥奥特曼

2019-1-27 11:54

5510

原始是 Process->DebugPort

改成 Process->Pcb.DebugPort

只改NtDebugActiveProcess 函数里的吗我发现

NtDebugActiveProcess_zidingyi

NtDebugContinue_zidingyi

NtWaitForDebugEvent_zidingyi

NtRemoveProcessDebug_zidingyi

这4个都不需要改

改了之后 od附加暂停不了

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・6

免费・0

支持

最新回复 (1)
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 267 关注私信	xiaofu 8 2 楼如果你是WIN10只处理附加的话，可以只改以下函数 PsGetProcessDebugPort DbgkpSetProcessDebugObject DbgkpMarkProcessPeb DbgkCreateThread PspExitThread DbgkExitThread DbgkpQueueMessage KiDispatchException DbgkForwardException NtQueryInformationProcess DbgkClearProcessDebugObject DbgkpCloseObject DbgkMapViewOfSection DbgkUnMapViewOfSection DbgkExitProcess 配合扩充EPROCESS,之前我的帖子有介绍最后于 2019-1-27 17:35 被xiaofu编辑，原因： 2019-1-27 17:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

xiaofu

雪币： 1564

活跃值： (3572)

能力值：

( LV13，RANK：420 )

在线值：

发帖

118

回帖

638

粉丝

267

关注

私信

xiaofu 8: 2 楼

如果你是WIN10只处理附加的话，可以只改以下函数

PsGetProcessDebugPort
DbgkpSetProcessDebugObject
DbgkpMarkProcessPeb
DbgkCreateThread
PspExitThread
DbgkExitThread
DbgkpQueueMessage
KiDispatchException
DbgkForwardException
NtQueryInformationProcess
DbgkClearProcessDebugObject
DbgkpCloseObject
DbgkMapViewOfSection
DbgkUnMapViewOfSection
DbgkExitProcess

配合扩充EPROCESS,之前我的帖子有介绍

最后于 2019-1-27 17:35 被xiaofu编辑，原因：

2019-1-27 17:26