[求助]某P最近更新后新出现的一种检测，求大佬们给些思路。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]某P最近更新后新出现的一种检测，求大佬们给些思路。

发表于: 2019-10-20 11:21 9683

[求助]某P最近更新后新出现的一种检测，求大佬们给些思路。

洛臻

2019-10-20 11:21

9683

最近某P的一次更新后，发现CE找访问的时候游戏直接卡死，闪退。用X32DBG附加不用硬断的话可以正常调试，用硬断可以断下，但是恢复运行后游戏会卡死，闪退。

经过一段时间的研究，发现三环的异常处理函数HOOK中加了对VEH的处理，CE之前一直是用的硬断+VEH的方式，所以VEH直接被检测，凉凉。

后来用硬断+WindowsDebugger的方式，这种方式找访问可以有访问记录输出，但是过一会后还是会卡死，闪退。

用VEH+硬断的方式的时候，因为在异常传输路线上直接被检测，所以一条访问记录都没有输出，游戏直接卡死。用硬断+WindowsDebugger方式下感觉像是不是在异常传输路线上的检测，倒像是有个线程在循环检测什么位置一样，检测到以后游戏才卡死，所有会有访问记录输出。

开始以为是游戏硬断占坑，通过CONTEXT检测寄存器的值的原因，所以尝试过修改Context的值，比如在x32dbg中直接给调试寄存器清零，或者在windbg中清零，但是发现只把context的值改了游戏没有任何反应，很明显，不是通过context来检测的。

后来试过Int3+WindowsDebugger和page exception+WindowsDebugger，但是都跟硬断+WindowsDebugger情况差不多。

后来在X32dbg中对三环异常处理函数下条件断点，判断如果是硬断异常就中断。然后给游戏下硬件断点，这里有两种情况：1.如果游戏运行中直接下硬件断点，则三环异常处理函数会先中断，然后才是我硬断的地方中断，这说明三环异常处理函数先于调试器接收到了异常;2.如果先给游戏中断，也就是x32dbg的暂停键，先让游戏暂停，在下硬断，然后在运行游戏，这时候硬断被触发就不会先中断到三环异常处理哪里，会直接中断到调试器。

异常传输过程中没有什么函数被HOOK，01IDT 的HOOK我已经恢复了，所以想不明白有什么办法能实现这种效果。

系统是Win10 1511，有IDT HOOK，01让我直接HOOK回去了，只剩下0E还有作用。想过会不会是保护替换了debugobject，但是附加的时候仔细注意过debugobject的值没有被替换过。也想过会不会是0e设置01IDT为缺页，这样有硬断或单步就需要先进入0e来处理缺页，这样0e就可以监控01的异常。后来经过测试也不是这样做的。

有个朋友是Win7x86的系统，跟我有相同的情况，他的IDT 01和0e都恢复了，也是会有检测。想不明白有什么地方能实现这种效果，求大佬知道的给点思路。

哦，对了，没有开启VT。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・0

支持

最新回复 (20)
丶丶啊啊啊啊雪币： 132 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	丶丶啊啊啊啊 2 楼上VT 2019-10-21 10:15 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼换win7，开VT，npas破解版+CE硬断模式喜爱福没问题 2019-10-21 12:21 0
白菜大哥雪币： 12502 活跃值： (3048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 4 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题不是该换建文网络调试器吗，这大宝贝什么都可以调试，只是不支持1903。 2019-10-21 15:14 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼白菜大哥不是该换建文网络调试器吗，这大宝贝什么都可以调试，只是不支持1903。吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼 2019-10-21 19:20 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 6 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题你知道他是怎么实现的么大佬，不想换系统，太麻烦了。最近测试发现，调试器接收到了异常，但是返回了不处理。内核没有Inline hook。我hook了异常分发的DbgkForwardException,DbgkSendApiMessage,DbgkQueueMessage,输出了一下参数，跟正常的异常对比了一下，没发现有什么不对的地方。三环调试器也没有被HOOK。唯一感觉很奇怪的就是进程运行中下硬断就会有问题，先暂停进程在下硬断，在运行，这样硬断触发就不会有问题。研究半个月了没头绪，太难了。。 2019-11-4 15:53 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 7 楼最近我也遇到了同样的问题，看了很多资料都没有解决。不过有一点我不知道怎么去核实。你所有的方法都用完了还没有解决问题，还有一个可能，是不是机制的问题。有没有可能关于硬件断点的机制，注册了回调函数，最大可能是应用层的。因为我在过一个保护的时候，发现内存访问断点可以注册回调函数，一发生页面异常，异常会首先被传送给回调函数，但我始终找不到解决问题的方法。我记得有篇文章是说怎么附加360程序，因为360程序在创建进程对象时，由于机制，可以为进程对象注册回调函数（在第六版深入解析windows操作系统中，为内核对象注册回调函数是没有，后来微软更新了机制，才有的），不过是在内核层中。 2019-11-4 18:37 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 8 楼 mb_byndewfd 最近我也遇到了同样的问题，看了很多资料都没有解决。不过有一点我不知道怎么去核实。你所有的方法都用完了还没有解决问题，还有一个可能，是不是机制的问题。有没有可能关于硬件断点的机制，注册了回调函数，最大可 ... 你说的是OB回调么，我知道进程线程有回调，但是我还真不知道异常有回调的。难道微软新更新调试对象回调了？ 2019-11-4 22:42 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 9 楼洛臻你说的是OB回调么，我知道进程线程有回调，但是我还真不知道异常有回调的。难道微软新更新调试对象回调了？可能我技术不太好，说错了，不要见怪。上个月我破解了一个软件的反附加，正开心时准备大干时，发现软件int 3断点，内存断点，硬件断点，在主要代码和数据处都不能用。我首先选择的是破解内存断点，跟你一样，实验了很多方法都不管用，甚至还去国外的网站查资料。后来在MSDN专门找关于memory的函数，发现一个AddSecureMemoryCacheCallback函数，功能就是为内存异常添加回调函数，当内存有异常时，首先调用由他注册的回调函数，但我技术有限，始终破解不了。这个月初，我又把破解目标转向硬件断点，但无奈自己能力有限，搞得人精疲力尽，我打算放弃了。按照我的理解，各种方法都使用了，并一一排除了问题，那么只有可能是机制问题了。我建议你看一些关于win7系统以后，微软更新的机制。毕竟开发反调试，反断点，反注入的人都是在这方面的专家，像我这种野路子搞一些常规的还可以，但对于更深的确实无能为力。 2019-11-4 23:41 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 10 楼找出问题了吗？ 2019-11-6 13:34 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 11 楼黄文和蛋蛋找出问题了吗？没有 2019-11-6 13:38 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 12 楼洛臻没有我是武汉的，你是哪里的？我不打算这样闭门造车了，想找个游戏相关的工作先做着，好难找啊 2019-11-6 17:23 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 13 楼黄文和蛋蛋我是武汉的，你是哪里的？我不打算这样闭门造车了，想找个游戏相关的工作先做着，好难找啊北京的。逆向类工作不好找 2019-11-11 09:32 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 14 楼洛臻北京的。逆向类工作不好找武汉的也是，搞逆向有点像捞偏门，见不得光 2019-11-14 09:37 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 15 楼 Windows逆向没前途，移动逆向才是未来，本人目前iOS逆向工程师。 2019-11-14 09:57 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 16 楼 mb_qkotfqiz Windows逆向没前途，移动逆向才是未来，本人目前iOS逆向工程师。我连Windows逆向都没搞明白，谈什么去搞移动的。人这一辈子精力是有限的，如果能把Windows逆向搞明白就算不错了。像游戏和大型软件，还是在台式机上有优势，并且游戏在台式机上的体验远远超过移动端。 2019-11-17 14:43 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 17 楼黄文和蛋蛋我连Windows逆向都没搞明白，谈什么去搞移动的。人这一辈子精力是有限的，如果能把Windows逆向搞明白就算不错了。像游戏和大型软件，还是在台式机上有优势，并且游戏在台式机上的体验远远超过移动端。原理都差不多，所有平台全会才能在这个社会生存。Windows逆向除了搞外挂，工作很难找，建议搞移动逆向。最后于 2019-11-17 22:27 被mb_qkotfqiz编辑，原因： 2019-11-17 22:26 0
~时光荏苒雪币： 5278 活跃值： (4753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 152 粉丝 5 关注私信	~时光荏苒 18 楼山总号真多~ 2019-11-24 15:14 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 19 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题 VT是什么哪里有这个东西下载的 2020-7-8 12:26 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 20 楼 ~时光荏苒山总号真多~ 天天山总脑壳有问题 2020-7-10 07:52 0
Willarcap 雪币： 10297 活跃值： (4500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 21 楼 wx_洛溪 VT是什么哪里有这个东西下载的 VT，Virtual Technology，详见英特尔手册卷三第23章开始 2020-7-10 08:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

洛臻

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
丶丶啊啊啊啊雪币： 132 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	丶丶啊啊啊啊 2 楼上VT 2019-10-21 10:15 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼换win7，开VT，npas破解版+CE硬断模式喜爱福没问题 2019-10-21 12:21 0
白菜大哥雪币： 12502 活跃值： (3048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 4 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题不是该换建文网络调试器吗，这大宝贝什么都可以调试，只是不支持1903。 2019-10-21 15:14 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼白菜大哥不是该换建文网络调试器吗，这大宝贝什么都可以调试，只是不支持1903。吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼吴建文牛逼 2019-10-21 19:20 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 6 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题你知道他是怎么实现的么大佬，不想换系统，太麻烦了。最近测试发现，调试器接收到了异常，但是返回了不处理。内核没有Inline hook。我hook了异常分发的DbgkForwardException,DbgkSendApiMessage,DbgkQueueMessage,输出了一下参数，跟正常的异常对比了一下，没发现有什么不对的地方。三环调试器也没有被HOOK。唯一感觉很奇怪的就是进程运行中下硬断就会有问题，先暂停进程在下硬断，在运行，这样硬断触发就不会有问题。研究半个月了没头绪，太难了。。 2019-11-4 15:53 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 7 楼最近我也遇到了同样的问题，看了很多资料都没有解决。不过有一点我不知道怎么去核实。你所有的方法都用完了还没有解决问题，还有一个可能，是不是机制的问题。有没有可能关于硬件断点的机制，注册了回调函数，最大可能是应用层的。因为我在过一个保护的时候，发现内存访问断点可以注册回调函数，一发生页面异常，异常会首先被传送给回调函数，但我始终找不到解决问题的方法。我记得有篇文章是说怎么附加360程序，因为360程序在创建进程对象时，由于机制，可以为进程对象注册回调函数（在第六版深入解析windows操作系统中，为内核对象注册回调函数是没有，后来微软更新了机制，才有的），不过是在内核层中。 2019-11-4 18:37 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 8 楼 mb_byndewfd 最近我也遇到了同样的问题，看了很多资料都没有解决。不过有一点我不知道怎么去核实。你所有的方法都用完了还没有解决问题，还有一个可能，是不是机制的问题。有没有可能关于硬件断点的机制，注册了回调函数，最大可 ... 你说的是OB回调么，我知道进程线程有回调，但是我还真不知道异常有回调的。难道微软新更新调试对象回调了？ 2019-11-4 22:42 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 9 楼洛臻你说的是OB回调么，我知道进程线程有回调，但是我还真不知道异常有回调的。难道微软新更新调试对象回调了？可能我技术不太好，说错了，不要见怪。上个月我破解了一个软件的反附加，正开心时准备大干时，发现软件int 3断点，内存断点，硬件断点，在主要代码和数据处都不能用。我首先选择的是破解内存断点，跟你一样，实验了很多方法都不管用，甚至还去国外的网站查资料。后来在MSDN专门找关于memory的函数，发现一个AddSecureMemoryCacheCallback函数，功能就是为内存异常添加回调函数，当内存有异常时，首先调用由他注册的回调函数，但我技术有限，始终破解不了。这个月初，我又把破解目标转向硬件断点，但无奈自己能力有限，搞得人精疲力尽，我打算放弃了。按照我的理解，各种方法都使用了，并一一排除了问题，那么只有可能是机制问题了。我建议你看一些关于win7系统以后，微软更新的机制。毕竟开发反调试，反断点，反注入的人都是在这方面的专家，像我这种野路子搞一些常规的还可以，但对于更深的确实无能为力。 2019-11-4 23:41 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 10 楼找出问题了吗？ 2019-11-6 13:34 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 11 楼黄文和蛋蛋找出问题了吗？没有 2019-11-6 13:38 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 12 楼洛臻没有我是武汉的，你是哪里的？我不打算这样闭门造车了，想找个游戏相关的工作先做着，好难找啊 2019-11-6 17:23 0
洛臻雪币： 830 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 1 关注私信	洛臻 13 楼黄文和蛋蛋我是武汉的，你是哪里的？我不打算这样闭门造车了，想找个游戏相关的工作先做着，好难找啊北京的。逆向类工作不好找 2019-11-11 09:32 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 14 楼洛臻北京的。逆向类工作不好找武汉的也是，搞逆向有点像捞偏门，见不得光 2019-11-14 09:37 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 15 楼 Windows逆向没前途，移动逆向才是未来，本人目前iOS逆向工程师。 2019-11-14 09:57 0
黄文和蛋蛋雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	黄文和蛋蛋 16 楼 mb_qkotfqiz Windows逆向没前途，移动逆向才是未来，本人目前iOS逆向工程师。我连Windows逆向都没搞明白，谈什么去搞移动的。人这一辈子精力是有限的，如果能把Windows逆向搞明白就算不错了。像游戏和大型软件，还是在台式机上有优势，并且游戏在台式机上的体验远远超过移动端。 2019-11-17 14:43 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 17 楼黄文和蛋蛋我连Windows逆向都没搞明白，谈什么去搞移动的。人这一辈子精力是有限的，如果能把Windows逆向搞明白就算不错了。像游戏和大型软件，还是在台式机上有优势，并且游戏在台式机上的体验远远超过移动端。原理都差不多，所有平台全会才能在这个社会生存。Windows逆向除了搞外挂，工作很难找，建议搞移动逆向。最后于 2019-11-17 22:27 被mb_qkotfqiz编辑，原因： 2019-11-17 22:26 0
~时光荏苒雪币： 5278 活跃值： (4753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 152 粉丝 5 关注私信	~时光荏苒 18 楼山总号真多~ 2019-11-24 15:14 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 19 楼 hzqst 换win7，开VT，npas破解版+CE硬断模式喜爱福没问题 VT是什么哪里有这个东西下载的 2020-7-8 12:26 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 20 楼 ~时光荏苒山总号真多~ 天天山总脑壳有问题 2020-7-10 07:52 0
Willarcap 雪币： 10297 活跃值： (4500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 21 楼 wx_洛溪 VT是什么哪里有这个东西下载的 VT，Virtual Technology，详见英特尔手册卷三第23章开始 2020-7-10 08:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复