-
-
关于Apex的保护
-
发表于:
2019-3-12 19:32
5589
-
最近研究Apex英雄的反调试,折腾出了一点成果,目前可以正常调试。
大概看了下,驱动注册了几个系统回调:
PsSetLoadImageNotifyRoutine
PsSetCreateProcessNotifyRoutine
PsSetCreateThreadNotifyRoutine
CmRegisterCallback
AnotherApexDebug XX了这些系统回调。
另外驱动注册了以下Object钩子,让xdbg无法正常读写及调试
PsProcessType
PsThreadType
ExDesktopObjectType(这个不知道用来做什么)
将上面3个钩子XX。另外好像还有个自定义的回调,也不知道做什么,暂时没有关心。
最后需要处理ZwSetinformationThread以及DbgUiDebugActiveProcess。
代码很多硬编码就不上了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)