简单对抗某个驱动的反调试

最新推荐文章于 2025-06-17 09:00:04 发布
最新推荐文章于 2025-06-17 09:00:04 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: 驱动调试
标 题: 【原创】简单对抗某个驱动的反调试
作 者: ReturnsMe
时 间: 2010-04-18,20:02:11
链 接: http://bbs.pediy.com/showthread.php?t=111236
先声明:
1.  本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。
2.我是菜鸟 ,都是些基本内容。只是看网上很多人搞,又弄的很麻烦,反正自己前两天玩儿了一小下,索性发出来。在ring0搞反反调试似乎已经被某广告鄙视的不行了~所以说我只是娱乐,没有其他目的。我很挫~欢迎批评指正,欢迎交流: http://hi.baidu.com/andriy_aolala/blog
3.  本文参考了一些文章,在文末 一 并感谢

不同游戏的保护驱动版本不太一样,我看的是cf的版本。先用ark初步扫描一下(如果要用xuetr,要先于tp加载,因为它hook了 tessafe.sys同样hook的指令,后启动xuetr导致直接重启),我用我以前写的一个ark扫描了一下。
他的hook如下:
代码: 
  IAT   kdcom.dll  KdSendPacket    KdRecivePacket
  Inline NtRead/WriteVirtualMemory KiAttachProcess
  Call hook  NtOpenThread NtOpenProcess 中的ObReferenceObjectByPointer
  此外还有3个Callback,两个系统线程
一、首先要解决内核调试的问题,有Windbg才好继续。
代码: 
.text:01001532                 call    ds:KdDisableDebugger
.text:01001538
.text:01001538 loc_1001538:                            ; CODE XREF: .text:01001530j
.text:01001538                 mov     edx, ds:KdDebuggerEnabled
.text:0100153E                 xor     ecx, ecx
.text:01001540                 xor     eax, eax
.text:01001542                 inc     ecx
.text:01001543                 inc     eax
.text:01001544                 lock cmpxchg [edx], ecx
.text:01001548                 test    al, al
.text:0100154A                 jnz     short loc_1001532
.text:0100154C                 retn
Ida里面有这么一段,这不新鲜了,直接注册一个LoadImageNotify,启动前IAT hook KdDisableDebugger 和KdDebuggerEnabled,再inline hook 掉TesSafe.sys 里面hook掉KdSendPacket    KdRecivePacket 的函数,跳转回原函数即可。

至此我们已经可以通过WinDbg调试驱动了。

二、放行OllyIce 和 CE

Tp hook 了一大堆,网上写的都是跳来跳去的绕过,但是即使绕过了也有可能过一段时间提示非法软件,原因不明。。总之这么来很费时间。

于是我在其OpenProcess 的hook函数里面找到
代码: 
.text:01001EBD                 call    ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3                 mov     [ebp+pEpro], eax
.text:01001EC6                 push    [ebp+pEpro]     ; pEpro
.text:01001EC9                 call    EprocessChk  ;非常关键的比对函数
.text:01001ECE                 movzx   eax, al
.text:01001ED1                 test    eax, eax
.text:01001ED3                 jz      short loc_1001EDA
.text:01001ED5                 jmp     loc_1001FC7  ;返回1的话 直接放行

.text:01001FC7                 mov     eax, off_100A090
.text:01001FCC                 or      ecx, 0FFFFFFFFh
.text:01001FCF                 lock xadd [eax], ecx
.text:01001FD3                 popf
.text:01001FD4                 popa
.text:01001FD5                 mov     esp, ebp
.text:01001FD7                 pop     ebp
.text:01001FD8                 jmp     OringinObReferenobjByPointer 跳回去
我们看看EprocessChk这个函数的伪代码
代码: 
char __stdcall EprocessChk(PEPROCESS pEpro)
{
  unsigned int v1; // ecx@2

  if ( pEpro != (PEPROCESS)dword_100AFAC )
  {
    v1 = 0;
    if ( !process_white_num )
      return 0;
    while ( pEpro != (PEPROCESS) process_white_list [v1] )
    {
      ++v1;
      if ( v1 >= process_white_num )
        return 0;
    }
  }
  return 1;
}
process_white_list 是一个全局数组 有0x20个位子,里面存放的是诸如System.exe之类的系统进程eprocess。
代码: 
kd> dd tessafe+EEE0
ee1c9ee0  863b57c0 8614cb78 86124598 861109d0
ee1c9ef0  86136da0 860fc3e8 860f6da0 860af510
ee1c9f00  860afda0 85fbada0 00000000 00000000
kd> !process 863b57c0
PROCESS 863b57c0  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 06c28020  ObjectTable: e1001e10  HandleCount: 240.
    Image: System
VadRoot 863b5050 Vads 4 Clone 0 Private 3. Modified 3279. Locked 0.
这个函数在其所有hook函数里面都存在,对方程序对于系统进程的函数调用是全部放行的。
所以,我们就注册一个CreateProcessNotify 把OD和CE加到那个白名单里面~~这样就不用绕hook了。
三、对抗debug port清零
  不熟悉debug port的同学可以去看软件调试,这是eprocess中的一个结构,是调试的关键,对方不停清零将导致OD像傻子一样,我看过的对抗方法有两种
1、  改内核函数DbgkXXX 系列函数中debug port相对于eprocess的偏移值 ,这个工作量太大,受不了。
2、  V大发的 重新编译WRK改eprocess结构。。这个倒是很通用啊~
其实对方程序想清零,也要有偏移,在xp中,0xbc是一个特殊的数字,IDA里面直接ATL+I …找到了3~4处,其中一处就是tp程序初始化硬编码。
代码: 
char __stdcall IniHardCode(int a1)
{
  int v1; // eax@3

  if ( dword_100A050 == 5 )  //这是版本号
  {
    if ( !dword_100A054 )
    {
      v1 = a1;
。。。。。。
      return 1;
    }
    if ( dword_100A054 == 1 )
    {
      v1 = a1;
      *(_DWORD *)(a1 + 4) = 0xBCu;  //这个值就是dbgport的偏移了
。。。。。。
这个函数的参数是一个申请的内存变量地址,保存在全局变量里,我们等其加载完毕后找到这块内存,修改0xbc为0x78(exit time的值),之后就让它丫清零去吧。
四、最后的疑问
1、至此,windbg可正常使用,OD 可附加可下断,但tufuzi 在其文章中说他会检查硬件断点,所以要hook NtGetContextThread,但我下断这里没见有程序调用。。我下完硬件断点也没见对方有什么反抗。。奇怪啊奇怪
2、虽然CE被加进了白名单,但是会报非法模块,不知其检测机制,驱动里确实找到了教主说的黑名单(名字一遍,特征值一遍),但是两个黑名单自始至终全是零,搞得我以为没有,但是检测函数是实实在在存在的,crc table也存在。我晕啊。
对反调试作者的建议:把你的CV多加一点。。别暴露这么多。。
反调试与反反调试
zhuhuibeishadiao
03-31 5739
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
内核两种反调试方法
zhuhuibeishadiao
05-02 4285
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007
StrongOD:StrongOD(反调试插件)驱动程序源代码-windows source code
03-25
强OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试器检测技术。 这是StrongOD驱动程序的源代码,我几年前已将其反转,有关更多信息,请访问: : 。 原谅我不是很好的编码风格。 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
Windows驱动反调试的一种手段
qq_43147121的博客
10-01 543
DebugPort是在用windowsapi调试方式时候所使用的数据结构指针,那么如果我们能够循环清空这个值的话,就可以做到大部分windows调试api都无法正确调试进程。今天要介绍的是eprocess的0xbc位置。
UnrealDbg:突破游戏驱动反调试机制的利器
gitblog_00824的博客
06-17 1006
UnrealDbg:突破游戏驱动反调试机制的利器 随着游戏产业的发展,游戏驱动中的反调试机制日益复杂,给开发者带来了巨大的挑战。传统的调试工具往往无法突破这些反调试机制,导致调试工作难以进行。为了解决这个问题,UnrealDbg 项目应运而生,它是一个基于 VT(Intel Virtualization Technology)技术构建的调试体系,旨在帮助开发者突破游戏驱动反调试机制,提高调试效率...
内核驱动反汇编调试
qq160816的专栏
05-25 1417
<br />arm-none-linux-gnueabi-objdump -D -S drivers/i2c/busses/i2c-designware.o > i2c-designware.s
反调试
weixin_30684743的博客
11-30 541
重所周知,有破解就必有防破解,二者本为一体 破解技术就不要我多介绍了,下面我来介绍反调试技术 也就是所谓的防破解技术 反调试技术可以简单通俗的理解为:防止OD分析软件的技术,也就是反调试技术 那么反调试技术又有几种呢? 下面我介绍几种常用反调试技术 首先声明,下面有一部分内容来源百度,若有喷子觉得恶心,请自觉删除 1. 最常用的便是调用windows API 那么 win...
嗨CE系列教程全套(入门,进阶,高阶)游戏驱动反调试
热门推荐
编程论坛
08-20 1万+
嗨CE系列教程全套(入门,进阶,高阶)游戏驱动反调试等 1.入门教程5课 1.如何修改游戏 2.快速找到基址和指针 3.通过一个地址快速找到其他地址 4.制作一个简易修改器 5.一些重要的小技巧和理论补充 2.进阶教程5课 1.修改汇编代码来实现作弊 2.不找指针直接使用...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
php反调试,简单对抗某个驱动反调试
weixin_36210213的博客
03-11 239
标 题: 【原创】简单对抗某个驱动反调试作 者: ReturnsMe时 间: 2010-04-18,20:02:11链 接: http://bbs.pediy.com/showthread.php?t=111236先声明:1.本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。2.我是菜鸟,都是些基本内容。只是看网上很多人搞,又弄的很麻烦,反正自...
给游戏或代码增加反调试功能(应用层级)
weixin_44389943的博客
02-27 861
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
各种反调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种反调试技术并提供了本人创作的各种反调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
oracle反调试,Win7 x86内核调试与TP反调试的研究
weixin_39988331的博客
04-14 422
本文在Win7 x86下的分析,在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。0x01 内核调试全局变量根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数第一次调用KdInitSystem分别会初始化如下变量1.KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被...
游戏安全反外挂-64驱动
douluo998的博客
03-05 607
/属性页->Driver Settings->Target Os Version : 设置版本 Windows 7 Windows 10任选。//属性页->Driver Settings->Target Os Version : 设置版本 Windows 7 Windows 10任选。//属性页->C / C+±>将警告视为错误 : 否 / WX -//属性页->C / C+±>将警告视为错误 : 否 / WX -//属性页->C / C+±>警告等级 : 等级3 / W3。
WinDbg调试流程的学习及对TP反调试的探索
weixin_30639719的博客
03-30 496
基础知识推荐阅读《软件调试》的第十八章 内核调试引擎 我在里直接总结一下内核调试引擎的几个关键标志位,也是TP进行反调试检测的关键位。 KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被置为 TRUE KdDebuggerEnabled : Boolean 用来表示内核调试是否被启用。当启动项中包含 /D...
TCC TP调试心得
宁静致远,淡泊明志.
08-30 2500
现在的嵌入式产品,基本上都用到TouchPanel ,希望我的一点经验会带给大家一点帮助。我这里以TELECHIP7901为例。一、确定X,Y是否镜像:在屏幕上任意拖动出一个矩形虚线框,然后随意上下左右拖动,这时看虚框是否根随触摸笔移动,如果虚线框能跟随触摸笔动,说明X+,X-,
TP的判断调试模式
思维小刀
06-27 826
// 如果是服务器未处理的异常,将http状态码设置为500,并记录日志 if(config('app_debug')){ // 调试状态下需要显示TP默认的异常页面,因为TP的默认页面 // 很容易看出问题 return parent::render(...
手把手教你使用WINDBG KO XXXX游戏驱动保护
weixin_34179968的博客
01-07 1189
【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护【破文作者】lj8888【作者邮箱】xxxx@163.com【作者主页】-【破解工具】windbg 6.7【破解平台】D版 XP SP3【软件名称】【软件大小】【原版下载】【保护方式】【软件简介】当前正在内测的大型网游【破解声明】菜鸟提供一点破解验证另类思路。如有失误之处纯属意外! 请高手直接飘过!-----------------...
反调试之Fake F8
flowwaterdog的博客
03-16 395
F7和F8称为单步步入与单步步过 F7可以一步一步跟入call指令,F8则是在call指令下一行代码设置断点 call指令分为两步骤,第一个步骤是将EIP的值修改为调用函数的地址,第二个步骤是将下一行代码地址存入堆栈中 retuen指令也分为两步骤,把堆栈的值取出来放入EIP中,同时ESP+4 此反调试方法是让F8不能在下一行断点,并使其找不到程序往哪跑 找一个函数 进入函数中,用一行代码将ES...
反调试对抗技术
最新发布
06-18
### 反调试对抗技术的实现方法与原理 反调试技术的核心目标是检测和阻止调试器对程序的分析,从而保护软件免受逆向工程攻击。以下是几种常见的反调试技术及其实现原理: #### 1. 调试器检测 通过检查特定的系统状态或行为,可以判断是否正在运行调试器。例如: - **IsDebuggerPresent**:Windows API 提供了一个简单的函数 `IsDebuggerPresent` 来检测当前进程是否被调试[^1]。 - **异常处理机制**:通过触发特定异常并观察其处理方式,可以间接判断是否存在调试器。调试器通常会改变异常处理流程[^3]。 #### 2. 时间测量 利用计时器检测调试器的存在。调试器在单步执行或断点命中时会显著增加指令执行时间。可以通过以下方法实现: - **RDTSC 指令**:读取处理器的时间戳计数器(TSC),比较两次调用之间的时间差。如果时间过长,则可能有调试器介入[^3]。 - **循环计时**:使用高精度计时器测量简单代码块的执行时间,超出预期范围则触发警报[^4]。 #### 3. 内存完整性保护 通过定期检查关键内存区域的一致性,防止调试器修改内存内容。例如: - **AntiDump 配置**:通过配置文件启用内存完整性检查,如 `[AntiDump] Enable = True`,并设置检查间隔和加密密钥[^3]。 - **动态内存校验**:在运行时对重要数据结构进行哈希计算,并与预定义值对比,确保未被篡改。 #### 4. 硬件断点检测 硬件断点通常依赖于 CPU 的调试寄存器(DR0-DR7)。可以通过以下方法检测这些寄存器的状态: - **直接读取调试寄存器**:通过汇编指令访问调试寄存器,检查是否存在非法值[^3]。 - **模拟调试行为**:尝试设置硬件断点并观察其效果,与预期结果不符则表明存在调试器。 #### 5. 虚拟化逃逸 现代反调试技术还涉及虚拟化环境检测,以防止恶意用户通过虚拟机分析程序。例如: - **嵌套虚拟化检测**:通过检查 CPU 特定标志位或异常行为,判断是否运行在虚拟化环境中[^2]。 - **指令集随机化**:动态生成和执行加密的机器码,增加静态分析难度[^3]。 #### 6. HOOK 技术 HOOK 是一种拦截和修改系统调用或消息传递的技术,广泛应用于反调试领域。其实现原理包括: - **API HOOK**:通过替换目标函数的入口地址,插入自定义逻辑。例如,HOOK `NtQueryInformationProcess` 函数以隐藏调试标志[^4]。 - **Inline HOOK**:修改目标函数的前几条指令,跳转到自定义代码段,完成后恢复原始执行流[^4]。 ### 示例代码 以下是一个简单的 RDTSC 计时检测示例: ```c #include <stdio.h> #include <intrin.h> int main() { __int64 start = __rdtsc(); for (int i = 0; i < 1000000; i++); // 循环耗时操作 __int64 end = __rdtsc(); printf("Time taken: %I64d ticks\n", end - start); return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值