[原创]新版xxprotect保护调试以及其x64隐藏进程等原理-软件逆向-看雪-安全社区|安全招聘|kanxue.com

110

[原创]新版xxprotect保护调试以及其x64隐藏进程等原理

发表于: 2019-3-25 12:10 32105

[原创]新版xxprotect保护调试以及其x64隐藏进程等原理

xiaofu

2019-3-25 12:10

32105

时代在进步。距离老版xxprotect发布有几个月了。终于等到了新版的程序。

win7部分被v

1.pchunter检测

打开pchunter后，电脑直接黑屏重启。

解决方法:

pchunter改个名字。

2.双机调试

vmp自带的内核调试器检测。挂钩R3的ZwQuerySystemInformation

3.进程隐藏

在任务管理器和调试器中看不到xxprotect.exe的进程名，但是直接遍历却可以遍历到

发现其pid被修改，变成了winlogon.exe的pid，导致其他任务管理器和调试器不显示其进程

windbg跟踪一波,发现其驱动在初始化阶段会设置保护进程的eprocess.InheritedFromUniqueProcessId 和 eprocess.UniqueProcessId

win7部分被v

把父进程PID设置为4，进程ID设置为winlongon的pid，即可“隐藏进程”。

直接patch SKProDriver.sys驱动的该函数即可不让其隐藏进程,下面贴代码

4.进程/线程对象保护

打开pchunter后，发现SKProDriver注册了以下回调

统统xor rax,rax/ret即可,并没有校验

5.调试权限清除

调试附加到进程后，出现

发现debugobject.ValidAccessMask被清空。调试发现 SKProDriver.sys 在初始化阶段有一次权限清0行为

直接nop了即可

6. debugport检测

调试器附加到xxprotect上后，电脑一闭眼。直接重启，原来是 xxprotect.sys会实时检测其保护进程的process.debugport

发现其被赋值后，马上重启电脑

代码如下，不同的系统取不同的debugport偏移

直接xor rax,rax/ret这里即可。

7.DbgUiRemoteBreak劫持

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-3-26 18:01 被xiaofu编辑，原因：

收藏・110

免费・16

支持

赞赏记录

参与人

雪币

留言

时间

一路南寻

为你点赞！

2024-11-9 05:44

東陽不列山

为你点赞！

2024-11-8 06:58

Youlor

为你点赞！

2024-6-9 06:09

fatcateatrat

为你点赞~

2022-12-2 10:04

PLEBFE

为你点赞~

2022-7-27 22:26

coneco

为你点赞~

2022-7-27 10:29

心游尘世外

为你点赞~

2022-7-26 23:39

飘零丶

为你点赞~

2022-7-17 03:22

布丁先生

为你点赞~

2021-2-6 23:53

紫天云龙

为你点赞~

2020-8-4 22:24

ZSYL

为你点赞~

2019-4-6 00:41

sdestroyer

为你点赞~

2019-4-2 15:08

gaveu屯烫烫

为你点赞~

2019-3-26 21:59

Lixinist

为你点赞~

2019-3-25 14:16

asd

为你点赞~

2019-3-25 12:49

milko

为你点赞~

2019-3-25 12:17

最新回复 (56) 1 2 3 ▶
milko 雪币： 1553 活跃值： (1982) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 4 关注私信	milko 2 楼山总请的杀手已经在路上了 2019-3-25 12:14 0
BDBig 雪币： 632 活跃值： (1255) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼山总请的杀手已经在路上了 2019-3-25 12:26 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 4 楼山总请的杀手以拿上砍刀准备好了随时待命 2019-3-25 12:34 0
asd 雪币： 7814 活跃值： (4601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 163 粉丝 1 关注私信	asd 5 楼山总请的杀手已经在路上了 2019-3-25 12:49 0
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 6 楼山总请的杀手已经在路上了 2019-3-25 12:57 0
不知世事雪币： 3712 活跃值： (1641) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 7 楼强 2019-3-25 12:59 0
啊啊对我笑雪币： 43 活跃值： (18) 能力值： ( LV3，RANK：35 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	啊啊对我笑 8 楼山总哭晕在厕所 2019-3-25 13:02 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 9 楼感谢分享，明天全部安排好 2019-3-25 13:11 0
FANTASYING 雪币： 2235 活跃值： (1115) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 156 粉丝 6 关注私信	FANTASYING 10 楼山总的10w已经到账 2019-3-25 13:15 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 11 楼得劲了 2019-3-25 13:32 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 12 楼 666又盘山总。。。看反调试好像都是从TP偷来的 2019-3-25 13:52 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 13 楼山总请的杀手已经在路上了 2019-3-25 13:53 0
provence 雪币： 1055 活跃值： (412) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 5 关注私信	provence 14 楼好的已经安排上了 2019-3-25 13:58 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 15 楼我Britain Mountain不要面子的啊？ 2019-3-25 14:16 1
wonderzdh 雪币： 61 活跃值： (1046) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 16 楼都是常规操作，看来稳定性很高。 2019-3-25 14:17 0
qdjytony 雪币： 668 活跃值： (1071) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 17 楼山总请的杀手已经在路上了 2019-3-25 14:50 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 18 楼 66666666 2019-3-25 15:26 0
flyskiller 雪币： 975 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	flyskiller 19 楼时代在进步。是最骚的~ 2019-3-25 16:33 0
柒雪天尚雪币： 183 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 326 粉丝 5 关注私信	柒雪天尚 20 楼完了，我们公司可是专门给游戏提供保护的，你这样我怎么做生意 2019-3-25 16:35 0
wuzhuyecao 雪币： 54 活跃值： (1048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	wuzhuyecao 21 楼图片是vscode的吗，主题还挺不错 2019-3-25 17:09 1
qdjytony 雪币： 668 活跃值： (1071) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 22 楼哈哈哈哈PCHUNTER 2019-3-25 17:41 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 23 楼准备收建文网络公司律师函 2019-3-26 04:53 0
黑洛雪币： 6129 活跃值： (4941) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 79 关注私信	黑洛 1 24 楼山总请的杀手已经在路上了 2019-3-26 07:49 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 25 楼山总请的杀手已经在路上了 2019-3-26 09:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaofu

118

发帖

638

回帖

420

RANK

关注

私信

他的文章

[原创]EasyAnticheat的内存特征算法 21906
[原创]X64 Kernel Shellcode获取Ntos Base 12213
[讨论]Eac对抗HyperVisor的实现 12988
新TP的内存保护技术 (仅修改一个字节) 30959
[原创]be新加的hypervisor检测 12041

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) 1 2 3 ▶
milko 雪币： 1553 活跃值： (1982) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 4 关注私信	milko 2 楼山总请的杀手已经在路上了 2019-3-25 12:14 0
BDBig 雪币： 632 活跃值： (1255) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼山总请的杀手已经在路上了 2019-3-25 12:26 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 4 楼山总请的杀手以拿上砍刀准备好了随时待命 2019-3-25 12:34 0
asd 雪币： 7814 活跃值： (4601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 163 粉丝 1 关注私信	asd 5 楼山总请的杀手已经在路上了 2019-3-25 12:49 0
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 6 楼山总请的杀手已经在路上了 2019-3-25 12:57 0
不知世事雪币： 3712 活跃值： (1641) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 7 楼强 2019-3-25 12:59 0
啊啊对我笑雪币： 43 活跃值： (18) 能力值： ( LV3，RANK：35 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	啊啊对我笑 8 楼山总哭晕在厕所 2019-3-25 13:02 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 9 楼感谢分享，明天全部安排好 2019-3-25 13:11 0
FANTASYING 雪币： 2235 活跃值： (1115) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 156 粉丝 6 关注私信	FANTASYING 10 楼山总的10w已经到账 2019-3-25 13:15 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 11 楼得劲了 2019-3-25 13:32 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 12 楼 666又盘山总。。。看反调试好像都是从TP偷来的 2019-3-25 13:52 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 13 楼山总请的杀手已经在路上了 2019-3-25 13:53 0
provence 雪币： 1055 活跃值： (412) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 5 关注私信	provence 14 楼好的已经安排上了 2019-3-25 13:58 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 15 楼我Britain Mountain不要面子的啊？ 2019-3-25 14:16 1
wonderzdh 雪币： 61 活跃值： (1046) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 16 楼都是常规操作，看来稳定性很高。 2019-3-25 14:17 0
qdjytony 雪币： 668 活跃值： (1071) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 17 楼山总请的杀手已经在路上了 2019-3-25 14:50 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 18 楼 66666666 2019-3-25 15:26 0
flyskiller 雪币： 975 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	flyskiller 19 楼时代在进步。是最骚的~ 2019-3-25 16:33 0
柒雪天尚雪币： 183 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 326 粉丝 5 关注私信	柒雪天尚 20 楼完了，我们公司可是专门给游戏提供保护的，你这样我怎么做生意 2019-3-25 16:35 0
wuzhuyecao 雪币： 54 活跃值： (1048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	wuzhuyecao 21 楼图片是vscode的吗，主题还挺不错 2019-3-25 17:09 1
qdjytony 雪币： 668 活跃值： (1071) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 22 楼哈哈哈哈PCHUNTER 2019-3-25 17:41 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 23 楼准备收建文网络公司律师函 2019-3-26 04:53 0
黑洛雪币： 6129 活跃值： (4941) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 79 关注私信	黑洛 1 24 楼山总请的杀手已经在路上了 2019-3-26 07:49 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 25 楼山总请的杀手已经在路上了 2019-3-26 09:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]新版xxprotect保护调试以及其x64隐藏进程等原理

账号登录 验证码登录

账号登录

验证码登录