关于VMP\SE 壳反调试器的研究

20120427

最近一直都有在研究反调试的技术，也想了很多反调试的方法。经过调试发现 VMP\SE 壳都喜欢用  CheckRemoteDebuggerPresent 函数 检测调试端口，这个函数主要通过ZwQueryInformationProcess 实现。只要HOOK了这个函数就无法检测到调试器了，吾爱破解专用的OD的驱动只在XP32位系统好使，驱动是SSDTHOOK了这个 函数，对现在的OD来讲，这些壳检测调试器基本没啥作用。vmp另外使用了CloseHandle DEADCODE，在调试器环境下会触发异常，同样这个函数也被驱动给HOOK了。SE壳 检测硬件、F2断点，并且它是将ntdll.dll 读取加载到另一个内存地址，正常在原来的位置下各种断点都是无效的，并且被检测到了还使用了一个函数ZwSetInformationThread 脱离调试器。驱动是好，但是兼容性就不怎么样，别看驱动很强大，弄不好就导致系统不稳定，蓝屏。

如果你觉得你的调试器很强大，大可一试
https://share.weiyun.com/19c1219557ff5016dcb56d81e2beb5a9

20120427

SE 的反调试最主要的是他把  ntdll.dll 通过 ReadFile加载到另一个内存了，调用的不是真正ntdll.dll , 实际上还是使用了ZwQueryInformationProcess 函数检测调试端口 ， XP的OD驱动就能过SE实际上就是SSDTHOOK了这个函数， 如果直接HOOK ntdll.dll的 ZwQueryInformationProcess 函数是没啥用的

andydau

20120427 发表于 2017-10-24 21:49
破坏作案工具，写入插件目录的是插件，没有写入驱动。。

伪装成SOD，太淫荡了

20120427

蚯蚓翔龙 发表于 2017-11-2 13:32
之前运行过，全局钩子只有检测到od相关文件等才会加载，里面严格来说并不是双进程互相调试，所以只要时机处 ...

双进程附加调试后来也写了，这样两个进程都不能被OD附加了。如果DebugActiveProcess被HOOK dllhost.exe附加失败会结束1.exe， 阻止dllhost.exe去结束1,exe ，这样就是能导致反附加失败。简单一点阻止dllhost.exe进程创建 ，如果只是阻止进程创建，杀毒软件就能拦截阻止了，当然还有个线程检测的,后来还加入了进程通讯，还考虑到了各种方方面面的问题，要正常调试必须经过重重考验，需要处理一大推的检测，并且对个别函数前几个字节是有检测的，起到了一定的保护的作用。

@小七

重点都没有，

183595412

学习了。谢谢楼主

魔弑神

一个是拖入OD无法启动 我解决了  后面还有很多检测 厉害

20120427

@小七 发表于 2017-10-24 20:33
重点都没有，

重点是研究反调试技术。。

魔弑神

20120427 发表于 2017-10-24 20:51
重点是研究反调试技术。。

既然是你写出的 你可研究出反反这个调试？

MAXtoDEATH

VMP对于debug api还是很敏感的吧。。。其实如果有魔改版的soctice啥的可以再看看，毕竟R0跟进krnl态看的还是仔细，od在r3还是不适合处理一些太底层的东西

andydau

破坏OD，很邪恶。

andydau

插件目录写入驱动文件，这种做法妥当？

20120427

andydau 发表于 2017-10-24 21:46
插件目录写入驱动文件，这种做法妥当？

破坏作案工具，写入插件目录的是插件，没有写入驱动。。