首页
论坛
课程
招聘
[调试逆向] [系统底层] [软件保护] 问一个过双机调试的问题
2021-4-21 18:57 1302

[调试逆向] [系统底层] [软件保护] 问一个过双机调试的问题

2021-4-21 18:57
1302

呜呜呜,大佬们晚上好


想问一个应用层检测双机的问题。

就已知会使用NtQuerySystemInformation检测SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx。

我把SystemKernelDebuggerInformation 、SystemCodeIntegrityInformation、SystemKernelDebuggerInformationEx、SystemKernelDebuggerFlags都处理了。

另外我hook了NtSystemDebugControl,发现并没有被调用。


SharedUserData->KdDebuggerEnabled这个我也已经处理了。


另外msconfig里的调试勾子我也去掉了。


求问大佬们 R3还有啥方法能检测到双机。


对啦,另外我用的是真机调试。我改了导出表,KdDebuggerEnabled、KdDebuggerNotPresent、KdEnteredDebugger全改了,用MmGetSystemRoutineAddress取到的也是我改后的。

并且我隐藏了Kdusb驱动(因为我是物理机用usb双机调试的)

呜呜呜,有没有人告诉一下我


第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞0
打赏
分享
最新回复 (4)
雪    币: 210
活跃值: 活跃值 (1085)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Mxixihaha 活跃值 2021-4-21 21:46
2
0
既然你说了是 应用层检测双机   你怎么不分析应用层的检测代码?     再对症下药才有效果.

比如具体到函数的(参数返回)函数返回 内容.
雪    币: 203
活跃值: 活跃值 (725)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2021-4-22 02:27
3
0
自己用vmp给exe加调试器检测就知道了
内核调试选上
雪    币: 545
活跃值: 活跃值 (921)
能力值: ( LV3,RANK:32 )
在线值:
发帖
回帖
粉丝
qqzxc 活跃值 2021-4-22 11:18
4
0
yy虫子yy 自己用vmp给exe加调试器检测就知道了 内核调试选上
vmp的已经过了
雪    币: 12470
活跃值: 活跃值 (1060)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
白菜大哥 活跃值 2021-4-22 11:58
5
0
该不会是枚举进程吧。。比如双机以后,一些进程通过某些方式通信,这些进程被检测到了。
游客
登录 | 注册 方可回帖
返回