VT技术的存档

基于VT技术的OllyDbg插件Ddvp

随着软件产业的发展, 在Windows平台上, 为了防止软件被逆向, 破解, 出现了很多保护软件的手段, 其中一种就是反调试, 在反调试领域, 最强的莫过于在网络游戏方面.在网络游戏反调试上, 总是有一拨孜孜不倦的人, 不断的突破游戏公司的封锁, 而游戏公司又不断的改进反调试的方法.

有没有一种一劳永逸的方法呢? 这时候VT技术进入了我的视野.

阅读全文… 

DbgkExitThread, DbgkExitProcess

线程创建和进程要做的事情稍微多一点, 但是线程退出和进程退出要做的事情就不多了. 再加上上一篇我们已经分析了几个调试辅助函数, 所以这篇有营养的内容其实不多.

阅读全文… 

DbgkCreateThread

首先我们需要替换的是 rdmsr, wrmsr替换掉系统的sysenter跳转地址. 这样整个SSDT表函数都处于被我们的监控当中.

一个新的进程创建线程的时候就会调用到DbgkCreateThread.DbgkCreateThread可以发出两种消息, 一种进程创建,和线程创建消息.

当然, ntdll.dll的消息也在此列.DbgkCreateThread函数内部主要是判断进程是否有PSF_CREATE_REPORTED_BIT标记, 如果有那么就发送进程创建消息, 如果没有那么就发送线程创建消息, 他们都会调用到 DbgkpSendApiMessage 函数.

阅读全文… 

VT VMCS结构信息

熟悉Intel VT的人都知道. 使用VT的过程, 基本上就是操作VMCS结构的过程. 这个结构非常的大. 非常复杂, 基本上和VT有关的东西都在这里.

阅读全文… 

bochs调试VT代码

这边使用bochs调试代码实在是太郁闷了. 今天我索性要将我所有bochs上遇到的调试问题说一下.想要用bochs调试(VT)代码一定要耐心, 不然就想杀人.

阅读全文… 

NewBluePill打印系统

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线… NewBluePill这边的话结构非常的清晰,而且代码写的很好. 牛人就是牛人. NewBluePill关于VT方面的东西有价值, 但是我觉得这个代码最牛的地方在于内存隐藏方面, 但是这个代码没有公布出来. 我倒.

阅读全文…