-
-
问一个过双机调试的问题
-
2021-4-21 18:57
7817
-
呜呜呜,大佬们晚上好
想问一个应用层检测双机的问题。
就已知会使用NtQuerySystemInformation检测SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx。
我把SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx、SystemKernelDebuggerFlags都处理了。
另外我hook了NtSystemDebugControl,发现并没有被调用。
SharedUserData->KdDebuggerEnabled这个我也已经处理了。
另外msconfig里的调试勾子我也去掉了。
求问大佬们 R3还有啥方法能检测到双机。
对啦,另外我用的是真机调试。我改了导出表,KdDebuggerEnabled、KdDebuggerNotPresent、KdEnteredDebugger全改了,用MmGetSystemRoutineAddress取到的也是我改后的。
并且我隐藏了Kdusb驱动(因为我是物理机用usb双机调试的)
呜呜呜,有没有人告诉一下我
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
