[求助]如何对抗驱动反调试？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 2 楼自己写个调试器~~ 2008-9-3 17:11 0
kcynic 雪币： 431 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 79 粉丝 0 关注私信	kcynic 3 楼有那本事的，都不在这儿说话了 2008-9-3 17:14 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 4 楼双机调，或者把驱动先改掉 2008-9-4 18:42 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 5 楼我也遇见了个DLL反调试 2008-9-5 11:25 0
kcynic 雪币： 431 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 79 粉丝 0 关注私信	kcynic 6 楼 Dll反调试?那跟EXE反调试应该没有区别的吧,Dll中的代码被执行也是加载到EXE地址空间运行的嘛. 不过,我看的这个小东西的反调试其实很简单,它只不过反把我们一般常用的反调试伎俩放到驱动里面来了.是这样的,它利用同步IO,同步IO在驱动里面调用ZwGetCurrentProcess将得到的调用者的进程,从而它可以得到调用者的进进程地址空间,然后,调用程序走一段,调用一下DeviceIoControl. 另外,这个程序还利用驱动做断点检测,沿袭了前面说的,利用不同的阶段向驱动发送不同的IO控制字(调用DeviceIoControl),对不同范围内的代码进行解密,这样的话,如果需要保护的关键部分被插入断点的话,解密就会失败,程序就会越走越离谱.这个办法对搞不了硬件断点. 这是我这几天看这个东西的一点收获,我是新手,多谢论坛里一些热心人帮忙 2008-9-27 14:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 2 楼自己写个调试器~~ 2008-9-3 17:11 0
kcynic 雪币： 431 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 79 粉丝 0 关注私信	kcynic 3 楼有那本事的，都不在这儿说话了 2008-9-3 17:14 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 4 楼双机调，或者把驱动先改掉 2008-9-4 18:42 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 5 楼我也遇见了个DLL反调试 2008-9-5 11:25 0
kcynic 雪币： 431 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 79 粉丝 0 关注私信	kcynic 6 楼 Dll反调试?那跟EXE反调试应该没有区别的吧,Dll中的代码被执行也是加载到EXE地址空间运行的嘛. 不过,我看的这个小东西的反调试其实很简单,它只不过反把我们一般常用的反调试伎俩放到驱动里面来了.是这样的,它利用同步IO,同步IO在驱动里面调用ZwGetCurrentProcess将得到的调用者的进程,从而它可以得到调用者的进进程地址空间,然后,调用程序走一段,调用一下DeviceIoControl. 另外,这个程序还利用驱动做断点检测,沿袭了前面说的,利用不同的阶段向驱动发送不同的IO控制字(调用DeviceIoControl),对不同范围内的代码进行解密,这样的话,如果需要保护的关键部分被插入断点的话,解密就会失败,程序就会越走越离谱.这个办法对搞不了硬件断点. 这是我这几天看这个东西的一点收获,我是新手,多谢论坛里一些热心人帮忙 2008-9-27 14:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复