专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
今天看啥  ›  专栏  ›  看雪学苑

如何调试xxProtect

看雪学苑  · 公众号  · 互联网安全  · 2019-01-15 18:02
0x1:今天终于拿到了萌妹以求的xxprotect的demo,好久没搞反调试这一块了。心痒痒,开搞。0x2: 打开demo,长这样。是个64的程序,直接上x64dbg ,发现竟然找不到进程.尝试直接OpenProcess,报错 STATUS_INVALID_CID。根据msdn描述,很清楚了。做个实验测试一下。系统根据cid拿不到eprocess信息,看看PsLookupProcessByProcessId的实现。可以考虑自己维护下这个东西cid->cidtableentry。0x3:hook一下PspReferenceCidTableEntry。在进程创建的时候调用下ProcessStart加入当前的table.结束的时候调用下ProcessDelete移除掉table。然后跑起来发现有点问题。在进程退出的时候,系统会GG掉。那只能换个办法了,hook PsLookupProcessByProcessId。0x4:代码稍微改一下,写一个维护类。然后进程创建/结束的逻辑一样,不过table变成eproces ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照