郁金香外挂技术-郁金香灬老师

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

郁金香终身VIP管理员QQ150330575项目合作(有实力的+)视频教程+每月更新+QQ群
飞郁视频分享(每周更新)
查看: 847|回复: 4

硬件断点检测 与反硬件断点

[复制链接]
发表于 2016-3-9 20:01:54 | 显示全部楼层 |阅读模式
检测硬件断点,是一件很有趣的事儿,至少这玩意儿可以让xx工具威力丧失一半儿。不过对于这方面的探讨是比较少的,主要在于一般检测硬件断点的方法,不外乎用NtGetContextThread函数进行获取。
NtGetContextThread内部是向目标线程插入一个apc,然后在目标线程环境中进行获取工作。这个apc呀,实现是比较底层的。一般我们可以通过系统提供的api进行相关插入apc的相关操作。
但是鲜有某工具字节写apc插入来检测硬件断点,原因我想可能考虑到兼容性是个很大的问题......实际apc相关的底层实现,也不是很麻烦,主要是对数据结构的各种操作,自己实现一个apc也不费事儿,但还是兼容性的问题导致了一些商业工具没这样做。

那么,既然是通过NtGetContextThread获取线程上下文来检测硬件断点的话,我们在内核层拦截到这样的操作,然后处理之~~,这样就可对基本市面上大部分的商业保护进行反检测了。所以对硬件断点的处理在反反调试上就不是那么被津津乐道的话题。

有没有不用什么硬编码或者用很少硬编码就能检测硬件断点的呢?答案是存在的。



郁金香外挂教程,学习中...
回复

使用道具 举报

发表于 2016-3-9 21:37:05 | 显示全部楼层
老师啥时候出这方面的教程呢
郁金香外挂教程,学习中...
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

限时限量优惠

QQ|小黑屋|手机版|郁金香外挂技术-郁金香灬老师 ( 苏ICP备10059359号 )

GMT+8, 2019-9-16 10:09 , Processed in 0.048561 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表