VT技术的存档

基于VT技术的OllyDbg插件Ddvp

2013-08-15 11:47:02

随着软件产业的发展, 在Windows平台上, 为了防止软件被逆向, 破解, 出现了很多保护软件的手段, 其中一种就是反调试, 在反调试领域, 最强的莫过于在网络游戏方面.在网络游戏反调试上, 总是有一拨孜孜不倦的人, 不断的突破游戏公司的封锁, 而游戏公司又不断的改进反调试的方法.

有没有一种一劳永逸的方法呢? 这时候VT技术进入了我的视野.

阅读全文…

DbgkExitThread, DbgkExitProcess

2012-11-28 07:31:06

线程创建和进程要做的事情稍微多一点, 但是线程退出和进程退出要做的事情就不多了. 再加上上一篇我们已经分析了几个调试辅助函数, 所以这篇有营养的内容其实不多.

阅读全文…

DbgkCreateThread

2012-11-28 05:19:24

首先我们需要替换的是 rdmsr, wrmsr替换掉系统的sysenter跳转地址. 这样整个SSDT表函数都处于被我们的监控当中.

一个新的进程创建线程的时候就会调用到DbgkCreateThread.DbgkCreateThread可以发出两种消息, 一种进程创建,和线程创建消息.

当然, ntdll.dll的消息也在此列.DbgkCreateThread函数内部主要是判断进程是否有PSF_CREATE_REPORTED_BIT标记, 如果有那么就发送进程创建消息, 如果没有那么就发送线程创建消息, 他们都会调用到 DbgkpSendApiMessage 函数.

阅读全文…

VT VMCS结构信息

2012-10-18 10:09:27

熟悉Intel VT的人都知道. 使用VT的过程, 基本上就是操作VMCS结构的过程. 这个结构非常的大. 非常复杂, 基本上和VT有关的东西都在这里.

阅读全文…

bochs调试VT代码

2012-10-17 10:07:18

这边使用bochs调试代码实在是太郁闷了. 今天我索性要将我所有bochs上遇到的调试问题说一下.想要用bochs调试(VT)代码一定要耐心, 不然就想杀人.

阅读全文…

NewBluePill打印系统

2012-09-25 05:56:21

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线… NewBluePill这边的话结构非常的清晰,而且代码写的很好. 牛人就是牛人. NewBluePill关于VT方面的东西有价值, 但是我觉得这个代码最牛的地方在于内存隐藏方面, 但是这个代码没有公布出来. 我倒.

阅读全文…