PP保护4:DbgkpProcessDebugPortMutex与DbgkDebugObjectType

最新推荐文章于 2025-06-09 09:36:19 发布
原创 最新推荐文章于 2025-06-09 09:36:19 发布 · 1.7k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#调试
本文介绍了一种处理PP保护中DbgkpProcessDebugPortMutex及DbgkDebugObjectType的方法,通过覆盖保护写入的地址并释放真正的MUTEX,使得可以在PP保护加载时调试其他程序。

PP保护对DbgkpProcessDebugPortMutex进行了处理,在其count里不停写入100,造成的后果就是OD一打开,就卡死了.
PP保护还会遍历OBJECT,如果发现存在有DEBUG_OBJECT类型的OBJECT,就直接重启了。
所以要处理它们,处理互斥体的是这样的,自己申请一段内存,放在PP保护写入的地址处,然后把真正的MUTEX释放掉就OK了:
这里写图片描述
处理DbgkDebugObjectType的方法与上面的方法类似,代码是这样的:
这里写图片描述
这样修改了以后,就能在PP保护加载的时候,调试其他程序了,这里不是调试游戏:
这里写图片描述

VT过游戏保护调试保护的游戏
01-25
VT过游戏保护调试保护的游戏。无视TP,HP,PP
dbgk(国外的三篇win调试机制的分析教程)
08-26
关于windows提高的调试机制以及反调试手段的详细介绍。注意英文版。
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 3411
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
反 DebugAPI 调试
小喂的专栏
05-04 2008
利用 DebugAPI 调试程序时,系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpPr
CreateProcess流程分析
OSReact的专栏
07-12 1824
这个项目是本人在科锐和同学一起完成的项目,各有分工,我的任务是分析CreateProcess从用户态到内核态的整体流程框架(部分函数的具体实现由其他同学的完成)。 声明:由于本人能力有限,文中必然有错漏之处,恳请读者不吝赐教.(第一次写文章) 这里为了方便大家查阅,给出其他同学分析的链接: CreateProcess函数的整体流程分析:http://bbs.pediy.com/s
TP保护的研究和学习-用户态下调试附加篇(二)
星空漫步者
04-23 1324
TP保护的研究和学习-用户态下调试附加篇 引言: ​ 本篇系列旨在研究学习腾讯保护系统的保护方案实现,文中尽量以“发现问题然后尝试解决问题”的模式来处理遇到的问题,此前网上有太多相关的资料都只是给出了一个结论式答案或者方法,对于想要深入学习的人太不友好。 我相信有很多人和我一样在尝试去深入分析的时候遇到了各种问题,我的处理方式就是遇到实际问题实际分析的方式来推进学习; ​ 计算机理论到现在为止已经...
对象回调初步研究
最新发布
m0_68259687的博客
06-09 1141
这里有一个问题我没有解决,那就是在停止驱动的时候会蓝屏,0x00000039,在取消回调的时候回调句柄是被赋了值的,但是我一直没搞清楚为什么会蓝屏。中间还修改了DriverSection的Flags的值,把它改了回去,但是还是无济于事。
内核反调试
liuhaidon1992的博客
01-08 1596
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
hook
ReversalC的专栏
10-14 1285
KiFastcallEntry路过各函数hook. SwapContext路过IDT/GDT hook. OD附加发现卡死.DbgkpProcessDebugPortMutex其中几字节被改.自已创建一个,hook几个函数使用新的搞定. OD再次附加发现下断卡死,线程被隐藏,直接xxx. OD附加模块窗口如果出现模块不断加载卸载是因为还有四个四个字节的hook,直接xxoo就好了.
寻找调用DebugPort的函数
weixin_34319111的博客
11-09 213
打开虚拟机,打开一个程序。如LoadSys.exe 之后本机打开Windbg通过串行端口连接虚拟机。 lkd->!process00LoadSys.exe 得到LoadSys.exe的EPROCESS地址如。0x87654321 lkd->bar40x87654321+0xec(WIN7上DebugPort偏移为0xec...
Tp已经pass Only win7 32下面讲解方法
kingswb的博客
06-19 2541
作 者: 小烦 时 间: 2013-08-07,16:46:07 链 接: http://bbs.pediy.com/showthread.php?t=176806 TP技术难点: 1.双机调试 2.TesSafe自身模块硬断检测和自身CRC检测 3.DebugOjbetType权值清零 4.DebugPort清零 1解决了  2放弃  3Pass  4Pass  a 
WRK中全部访问DebugPort的函数总汇
创造神话,实现梦想!
07-09 1493
KiDispatchException        //1处    NtQueryInformationProcess      //1处    PspCreateProcess        //1处    PsGetProcessDebugPort      //1处    PsIsProcessBeingDebugged      //1处    NtTerminateProce
内核扫函数 特征码定位
09-04 575
ULONG sao1()//DbgkCopyProcessDebugPort { UCHAR *p1 = (UCHAR*)jizhi_neihe; UCHAR *p2 = NULL; UCHAR n1 = 0; for (ULONG i = 0; i <= (ULONG)daxiao_neihe; i++) { if (MmIsAddressValid(p1 + i)) {
Kubernetes部署Postgresql
w345731923的专栏
02-02 1635
ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。可以将其用作环境变量、命令行参数或者存储卷中的配置文件。Postgresql的Docker镜像 ->参考。pg的docker镜像已经上传到云平台。上的应用程序公开为网络服务的抽象方法。尝试外部访问,测试是否能对外部提供服务。如果资源不存在,就创建,相当于执行。如果资源存在,就修改,相当于执行。资源管理方法见命令式和文件式方法。查看应用对应的service。进入容器,建议用exec。使用apply创建资源,提供声明式的更新能力。
NTCreateDEbugOBject for win8..1
落笔飞花笑百生的博客
04-27 1486
这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了 这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑 NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2824
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 4896
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
Windows内核分析——内核调试机制的实现(NtCreateDebugObject、DbgkpPostFakeProcessCreateMessages、DbgkpPostFakeThreadMes...
weixin_30622181的博客
03-31 639
本文主要分析内核中调试相关的几个内核函数。 首先是NtCreateDebugObject函数,用于创建一个内核调试对象,分析程序可知,其实只是一层对ObCreateObject的封装,并初始化一些结构成员而已。 我后面会写一些window对象管理方面的笔记,会分析到对象的创建过程。 来自WRK1.2 NTSTATUS NtCreateDebugObject ( OUT P...
逆WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3464
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值