首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [讨论]DNGuard HVM还有人搞么?最新4.5版本
发表于: 2023-7-29 16:35 4270

未解决 [讨论]DNGuard HVM还有人搞么?最新4.5版本

江湖评谈 活跃值
2023-7-29 16:35
4270

搞DNGuard虽然逆向出了它的IL的二进制代码和Hook jit的整体逻辑,但是不知道MSIL在HVMRun64.dll的位置。调试的时候,会导致出现异常。以下地址是HVMRun64.dll里的地址:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
000000018001EDC9  mov         rdi,rcx 
000000018001EDCC  lea         rcx,[18005D8C8h
000000018001EDD3  push        r14 
000000018001EDD5  call        000000018003AAA1 
000000018001EDDA  push        rsi 
000000018001EDDB  mov         rsi,72BAC89240A42FA8h 
000000018001EDE5  pushfq
000000018001EDE6  cmp         esi,0A2938693h 
000000018001EDEC  mov         qword ptr [rsp+18h],0FFFFFFFFA5B93BA2h 
000000018001EDF5  mov         rsi,qword ptr [rsp+8
000000018001EDFA  jo          0000000180007BC5 
000000018001EE00  and         al,byte ptr [180040799h
000000018001EE06  add         byte ptr [rax],al 
000000018001EE08  pop         rax 
000000018001EE09  stos        byte ptr [rdi] 
000000018001EE0A  add         eax,dword ptr [rax] 
000000018001EE0C  add         dword ptr [rax],eax 
000000018001EE0E  add         byte ptr [rax],al 
000000018001EE10  rol         byte ptr [rsi+40001h],1 

在000000018001EDE5 pushfq 这里大致上下范围下断点,然后运行就导致了异常,如果在000000018001EDE5地址下断点,运行到此处,把断点取消,然后再运行就不会异常,但是如果运行了pushfq,则会导致异常。无法跟踪,这是什么反调试机制,有人知道吗

新人第一次发帖,多担待


[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (2)
chinasmu
雪    币: 6083
活跃值: (3155)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
你公众号不是写了篇随意拿捏dng的狗屎文章吗?
建议发出来让大家膜拜一下
2023-7-29 19:51
0
htg
雪    币: 5568
活跃值: (3173)
能力值: ( LV12,RANK:394 )
在线值:
发帖
回帖
粉丝
私信
3
“但是不知道MSIL在HVMRun64.dll的位置”:运行库里没有msil代码或者加密后的代码,这些内容都在被保护后的程序集里面。
2024-6-12 14:06
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//