[反调试 r0] —— KdDebuggerEnabled

最新推荐文章于 2025-12-20 17:41:42 发布
原创 最新推荐文章于 2025-12-20 17:41:42 发布 · 2.5k 阅读 · 4
本文详细介绍了如何在32位和64位系统中隐藏Windbg调试模式,通过修改共享内存区域KUSER_SHARED_DATA中的KdDebuggerEnabled值,实现对本地和双机调试模式的隐藏。同时探讨了在不影响Windbg使用的前提下,避免调试状态被系统自动恢复的方法。

理论基础

无论是在 32 位系统内存分布,还是在 64 位系统内存分布中,我们知道高地址空间分配给系统内核使用,低地址空间分配给用户进程使用。

事实上,用户空间和内核空间其实有一块共享区域(KUSER_SHARED_DATA),大小为 4 KB。它们的内存地址虽然不一样,但是它们都是有同一块物理内存映射出来的,KdDebuggerEnabled 就在存放这一块内存里。

对于 32 位系统和 64 位系统来说,这块共享区域对应的内核地址范围以及对应用户空间的地址范围如下表所示:

🤡 内核起始地址 内核结束地址 用户起始地址 用户结束地址
x86 0xFFDF0000 0xFFDF0FFF 0x7FFE0000 0x7FFE0FFF
x64 0xFFFFF78000000000 0xFFFFF78000000FFF 0x7FFE0000 0x7FFE0FFF

在 windbg 里查看 KUSER_SHARED_DATA:

dt _KUSER_SHARED_DATA
nt!_KUSER_SHARED_DATA
   +0x000 TickCountLowDeprecated : Uint4B
   +0x004 TickCountMultiplier : Uint4B
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   +0x020 TimeZoneBias     : _KSYSTEM_TIME
   +0x02c ImageNumberLow   : Uint2B
   +0x02e ImageNumberHigh  : Uint2B
   +0x030 NtSystemRoot     : [260] Wchar
   +0x238 MaxStackTraceDepth : Uint4B
   +0x23c CryptoExponent   : Uint4B
   +0x240 TimeZoneId       : Uint4B
   +0x244 LargePageMinimum : Uint4B
   +0x248 AitSamplingValue : Uint4B
   +0x24c AppCompatFlag    : Uint4B
   +0x250 RNGSeedVersion   : Uint8B
   +0x258 GlobalValidationRunlevel : Uint4B
   +0x25c TimeZoneBiasStamp : Int4B
   +0x260 NtBuildNumber    : Uint4B
   +0x264 NtProductType    : _NT
最低0.47元/天 解锁文章
精选_内核KUSER_SHARED_DATA共享区域的验证_源码打包
03-09
内核KUSER_SHARED_DATA共享区域的验证
2.API的调用过程(3环进0环)
My classmates
10-16 1692
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0环与3环共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
内核模式下获取一段包含系统信息的内存
輚至消亡
07-12 588
内核空间内有一段特殊的空间,其保存了一些系统重要信息,在x64下位于: x86下位于: 这段内存保存有一个结构体, 这里仅列出x64的对应结构体: typedef struct _KUSER_SHARED_DATA { // // Current low 32-bit of tick count and tick count multiplier. // // N.B. The tick count is updated each time the clo.
对双机调试的探索
陈刚编程心得与知识集
01-21 1161
最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零的代码还做了检测,所以意味着不能轻易修改*P的代码,  kdDebuggerEnabled是windows全局变量,用来标识内核调试是否被启用 开启调试状态:*(PBYTE)KdDebuggerEnabled=0x
KdDebuggerEnabled,kdDisableDebugger
goooglec的专栏
03-05 2281
判断是否有内核调试器在调试, 如果有调试器,则断开 ; 如果没有,则直接返回 IsKernelDebugger proc near                     jmp   short L2 L1:                                  call    KdDisableDebugger L2:         mov     edx, ds
开放世界冒险游戏反作弊分析报告
最新发布
2301_80282543的博客
12-20 1030
Qfrost和@上学困难户在分析过程中提供技术支持,本篇报告发布的时候,游戏已经升级到 5.4 版本。
转载mark-反调试技术
wy225的博客
06-30 779
这里分析的是6月18号的版本,由于某些原因这里隐去敏感内容 目前静态分析跟踪到7个系统线程创建,线程创建过程如下: 先判断hv是否存在 如果hv不存在则搜索SeSetAuditParameter中的FF E1特征码 根据如果成功搜索到上述fake thread entry则把线程入口指向上述entry,线程参数指向原真实线程入口(也就是rcx=真实线程入口,并且jmp rcx) 然后调用pscreatesysthrd创建系统线程 目前分析到的7个线程分别是: ...
系统调用之_KUSER_SHARED_DATA
wxy_xx1的博客
10-15 1014
当操作系统在启动的时候,需要初始化_KUSER_SHARED_DATA这个结构体,其中最重要的就是初始化0x300这个位置。操作系统要往这里面写一个函数,这个函数决定了所有的三环的API进入零环的方式。该函数KiFastSystemCall,实际上就只有三行代码,首先把esp保存到edx,目的是为了在零环能够方便的找到三环的堆栈。虽然它们指向的是同一个物理页,但在User层是只读的,在Kernel层是可写的。_KUSER_SHARED_DATA(用户层与内核层分别定义了该结构,用户用户层与内核层共享数据。
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 1255
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU
_KUSER_SHARED_DATA
qq_41490873的博客
07-14 634
kd> dt _KUSER_SHARED_DATA +0x000 TickCountLow : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0x014 SystemTime : _KSYSTEM_TIME +0x020 TimeZoneBias : _KSYSTEM_TIME +0x02c ImageNumberLow : Uint2B +0x02
记录一下对TP的研究
kingswb的博客
04-19 4807
参考  http://bbs.pediy.com/showthread.php?t=196149 非常好的一篇分析贴 本文在Win7 x86下的分析 在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。   根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数 第一次调用KdInitSystem分别会初始化如下变量
WinDbg调试流程的学习及对TP反调试的探索
weixin_30639719的博客
03-30 565
基础知识推荐阅读《软件调试》的第十八章 内核调试引擎 我在里直接总结一下内核调试引擎的几个关键标志位,也是TP进行反调试检测的关键位。 KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被置为 TRUE KdDebuggerEnabled : Boolean 用来表示内核调试是否被启用。当启动项中包含 /D...
【系统底层】系统调用(R3API调用过程详解)
子曰小玖的博客
10-20 1708
WindowsAPI API(Application Programming Interface),我们调用时只需提供正确的参数以及接收返回值就可以判断API执行是否成功或者通过GetLastError获得错误原因. 大部分API在R3都是处理各种校验,真正执行功能都是在R0(并不是所有的API都是在R0处理). 系统中几个核心DLL(Kernel32.dll,User32.dll,GDI32.dll,Ntdll.dll(大多数API通过此DLL进入内核)). 通过API
_KUSER_SHARED_DATA 结构查看
huanongying131的博客
08-08 2505
windbg双机调试: kd> !dml_proc //1 Address PID Image file name 863df8a8 4 System 87863448 108 smss.exe ...
KiFastCallEntry() 机制分析
无本之木
05-28 1381
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
调用
chaoguodong的专栏
03-04 342
KUSER_SHARED_DATA USER:0x7ffe0000 Kernel:0xffdf0000 指向同一块物理页,但USER是只读 Kernel可写 dt _KUSER_SHARED_DATA ntdll!_KUSER_SHARED_DATA +0x000 TickCountLowDeprecated : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0...
windows内核研究(系统调用 二)
weixin_43754657的博客
07-11 1149
Windows系统调用机制分析 本文分析了Windows系统的API调用过程,重点关注32位函数在64位系统中的转换机制。系统通过_KUSER_SHARED_DATA结构体实现用户层与内核层的数据共享,该结构体在用户层地址为0x7FFE0000(只读),内核层地址为0x7FFDF0000(可写)。文章详细解析了_KUSER_SHARED_DATA结构体内容,其中0x308偏移处存放系统调用入口。同时介绍了CPU快速调用检测机制,通过CPUID指令检查处理器是否支持sysenter/sysexit指令,支持则
替换SharedUserData
04-26 2892
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值