首页
论坛
课程
招聘
[求助]*P的双机调试
2016-10-15 10:29 6731

[求助]*P的双机调试

2016-10-15 10:29
6731
众所周知 *p根据game的不同保护的强度也不同

这里研究的game是:NZ

对应的驱动名字:TesSafe.sys(之前有过TesMon.sys 听说是上了vt的)

然后根据过*p其他game双机调试的经验 挂钩mdl映射 替换全局变量 该做的都做了

于是悲剧的一幕发生了 *p跳出了一个提示框 应该是检测到了双机
为了验证是检测了双机而不是虚拟机 常态/NODEBUG模式开启game正常进入 那么就确定是双机被检测了

好了 为了确定检测的是哪些地方 我进行了如下操作:

1、更改KdEnterDebugger 将KdEnteredDebugger置0(怕他直接进行读取 不考虑返回值)

2、将KdDebuggerEnabled置0

3、将KdPitchDebugger置1

4、将KiDebugRoutine指向KdpStub

以上操作完了自认为应该可以正常进入的我又被光速打脸 依旧跳出提示框。。。

无解 来求助了 看来是不是得花功夫研究/DEBUG模式的启动流程啊 好根据具体过程判断检测的地方


[公告]《安卓APP加固攻与防》训练营!Android逆向分析技能,干货满满,报名免费赠送一部手机!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (36)
雪    币: 114
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
我是谁! 活跃值 2016-10-15 12:41
2
0
内核的东西有点难!
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-15 19:33
3
0
求大神啊
雪    币: 238
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
迷失迭影 活跃值 2016-10-15 22:12
4
0
我正在开挂玩逆战。。。
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-15 23:28
5
0
G是自己做的吗 驱动是自己分析的吗 求过双机思路啊

看了一下也不是crc效验内核hook啊
雪    币: 9019
活跃值: 活跃值 (1370)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2016-10-16 11:51
6
0
事实上挂根本不需要双机调试这种东西。。
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-16 22:41
7
0
双机调试干保护逼格高
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-17 18:45
8
0
确实是不懂怎么过双机了

隔壁帖子加Q就是谈价 虽然知道没有白吃的午餐 作为一个穷屌丝还是很伤心的

不过目前只剩了一个KdDebuggerNotPresent变量还没去看了 难道是检测这个吗
雪    币: 57
活跃值: 活跃值 (78)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wonderzdh 活跃值 1 2016-10-17 18:49
9
0
事实上硬件调试秒杀一切
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-17 18:59
10
0
作为一个小菜实在是不懂高大上的东西 能过这双机我就很满足了
雪    币: 8376
活跃值: 活跃值 (107)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
无边 活跃值 2016-10-17 21:20
11
0
硬件调试有什么工具呢
雪    币: 1526
活跃值: 活跃值 (111)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
z许 活跃值 2016-10-17 21:41
12
0
KeUpdateSystemTime
雪    币: 9019
活跃值: 活跃值 (1370)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2016-10-17 23:41
13
0
听说有个HardICE
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-18 12:15
14
0
咋整啊
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2016-10-18 14:22
15
0
结贴 历经1天自己解决了
雪    币: 61
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
niceli 活跃值 2016-12-27 17:44
16
0
能否提示下  我也遇到这样问题 10月前好好的 现在不行了
雪    币: 101
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小程曦 活跃值 2017-3-4 11:45
17
0
能否指点指点,我也遇到这问题
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
AgpoeXX 活跃值 2017-7-2 11:22
18
0
空白大师,X64下双击调试,启动DXF登录器后,windbg无限断下,这里是哪里的问题?
雪    币: 9019
活跃值: 活跃值 (1370)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2017-7-2 22:31
19
0
AgpoeXX 空白大师,X64下双击调试,启动DXF登录器后,windbg无限断下,这里是哪里的问题?
你启动tgp也会有这个问题,然而实际上只要改改windbg的设置就好了,不用谢我
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2017-7-3 11:07
20
0
hzqst 你启动tgp也会有这个问题,然而实际上只要改改windbg的设置就好了,不用谢我
自己设置flt  except会卡  除非你非常相信自己的cpu哈哈哈  当然如果是自己动手脚就另当别论了
雪    币: 9019
活跃值: 活跃值 (1370)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2017-7-3 11:13
21
0
空白即是正义 自己设置flt except会卡 除非你非常相信自己的cpu哈哈哈 当然如果是自己动手脚就另当别论了
是吗  看来要去内核里强行撸掉single  step和C000005了
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
AgpoeXX 活跃值 2017-7-3 11:34
22
0
hzqst 你启动tgp也会有这个问题,然而实际上只要改改windbg的设置就好了,不用谢我
潜水艇大哥的话我试了,启动TXP也无限断。。。
至于对WINDBG动手脚这个,我还不知道怎么做。
雪    币: 30
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sqdwr 活跃值 2018-2-1 17:34
23
0
挂钩mdl映射  替换全局变量。
老哥,这样换,不会被PG制裁吗?
雪    币: 2347
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
空白即是正义 活跃值 2018-2-1 18:20
24
0
sqdwr 挂钩mdl映射 替换全局变量。 老哥,这样换,不会被PG制裁吗?
调试模式下木有PG
雪    币: 30
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sqdwr 活跃值 2018-2-2 09:11
25
0
空白即是正义 调试模式下木有PG
大表哥,不开调试模式,游戏都起不来怎么破,压根不运行.....
游客
登录 | 注册 方可回帖
返回