-
-
问一个过双机调试的问题
-
发表于:
2021-4-21 18:57
8567
-
呜呜呜,大佬们晚上好
想问一个应用层检测双机的问题。
就已知会使用NtQuerySystemInformation检测SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx。
我把SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx、SystemKernelDebuggerFlags都处理了。
另外我hook了NtSystemDebugControl,发现并没有被调用。
SharedUserData->KdDebuggerEnabled这个我也已经处理了。
另外msconfig里的调试勾子我也去掉了。
求问大佬们 R3还有啥方法能检测到双机。
对啦,另外我用的是真机调试。我改了导出表,KdDebuggerEnabled、KdDebuggerNotPresent、KdEnteredDebugger全改了,用MmGetSystemRoutineAddress取到的也是我改后的。
并且我隐藏了Kdusb驱动(因为我是物理机用usb双机调试的)
呜呜呜,有没有人告诉一下我
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
