求过驱动反调试
@new882 大佬教教我怎么过这个驱动反调试 HB都给你 原文在这里 https://www.52hb.com/thread-46817-1-1.html本帖最后由 狐白小刺客 于 2020-5-6 21:19 编辑
唔~ 有人叫我么(>人<;)
SA云没什么好说的
我就简单的讲讲x64 怎么过
附加:(sharpod attach)
驱动有ObRegisterCallbacks保护
提权调试器0x1fffffX 进程线程 就过了
然后你会发现程序直接结束了 因为sa有个时间检测 详见开源代码r3hook就可以搞定 或者直接移除
现在附加成功了 试试下硬件断点 发现是不能断下 以及设置的 因为驱动线程循环设置TrapFrame _KTRAP_FRAME结构 DRX(也可能是直接API设置DRX)
int3断点会直接退出;
anti 驱动的线程(有效验就patch) 以及一个dpc就行了
然后你会发现断下后调试器直接异常了 这个就是ETHREAD中HideFromDebugger还有CrossThreadFlags设置原来的值ok
然后发现你会发现你可以断点了 给分吧https://ww.lanzouw.com/ic9d2ne {:5_116:}是这样没错吧 aa2486717795 发表于 2020-5-4 20:30
是这样没错吧
对对对对 能解释一下原理吗 aa2486717795 发表于 2020-5-4 20:30
是这样没错吧
你怎么打开的 我怎么打不开 aa2486717795 发表于 2020-5-4 20:30
是这样没错吧
你这是什么 半成品吗 提示缺少什么DLL 最后再来个 Error, Access Denied 什么什么错误,拒绝访问得啥!!
kf9974831 发表于 2020-5-4 23:41
你这是什么 半成品吗 提示缺少什么DLL 最后再来个 Error, Access Denied 什么什么错误,拒绝访问 ...
Error access denied 就是驱动已经加载起来了,软件是正常的,可以正常打开 @aa2486717795 我用了你的那个od还是不行 你能教我你怎么过那个驱动保护的吗(能运行软件就行了)HB都给你