[讨论]ring0隐藏调试端口-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]ring0隐藏调试端口

发表于: 2009-1-22 22:32 7793

[讨论]ring0隐藏调试端口

wowelf

活跃值

2

2009-1-22 22:32

7793

ring3使用StrongOD可以把调试器隐藏得比较好了，但一到ring0它就无能为力。ring0目标进程被调试的最大特征就是DebugPort不为空，就算目标进程被调试中，一旦DebugPort被置零那么调试器也接收不到任何调试信息。如果DebugPort可以被隐藏，那么这种反调试方法就要废掉了。
初步研究，调试端口隐藏是可能的。要处理那些Dbgk**函数，如果隐藏后还要比较完美接收到调试信息，那么所有涉及到DebugPort的地方几乎都要处理，但这些Dbgk**函数比较多而且都是不导出的，处理起来比较麻烦。
有没有简单点的方法呢？

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

HideDebugPort.jpg （40.75kb，438次下载）

收藏・3

免费

支持

分享

最新回复 (5)
bzhkl 雪币： 437 活跃值： (378) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2 楼可能 shadow walk 可以原理：http://blog.csdn.net/linux2linux/archive/2005/08/26/465701.aspx 以前搞了下测试下时间长了会蓝不太稳定不知道为什么 = = 2009-1-22 22:47 0
wowelf 雪币： 214 活跃值： (24) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 29 粉丝 2 关注私信	wowelf 2 3 楼受教了，谢谢。 2009-1-22 23:03 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 4 楼 hook Lpc系列函数，然后把Port改成0，碰到DebugPort的lpc信息直接转发或者直接处理。 2009-1-23 17:43 0
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 5 楼 shadow walker原理上是可行的,不过用来隐藏数据内存的话......开销会比较大... 2009-1-24 16:10 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 6 楼 DebugPort=0不会再向调试器发送端口信息了，转而直接发向异常端口，所以HOOK了也收不到调试信息。 2009-1-24 16:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

wowelf

发帖

回帖

RANK

他的文章

[原创]Hide your DebugPort in ring0 67333
[讨论]ring0隐藏调试端口 7794
[原创]检测StrongOD 10892
[原创]The Age-Old Art of SSDT Hooking(But Bypass Most ARK Tools...) 13927

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区