VT技术的存档

基于VT技术的OllyDbg插件Ddvp

随着软件产业的发展, 在Windows平台上, 为了防止软件被逆向, 破解, 出现了很多保护软件的手段, 其中一种就是反调试, 在反调试领域, 最强的莫过于在网络游戏方面.在网络游戏反调试上, 总是有一拨孜孜不倦的人, 不断的突破游戏公司的封锁, 而游戏公司又不断...

DbgkExitThread, DbgkExitProcess

线程创建和进程要做的事情稍微多一点, 但是线程退出和进程退出要做的事情就不多了. 再加上上一篇我们已经分析了几个调试辅助函数, 所以这篇有营养的内容其实不多. 有创建就有销毁, 发起销毁调用的是PspExitThread, 下面摘抄一段他的代码.  ...

DbgkCreateThread

首先我们需要替换的是 rdmsr, wrmsr替换掉系统的sysenter跳转地址. 这样整个SSDT表函数都处于被我们的监控当中. 一个新的进程创建线程的时候就会调用到DbgkCreateThread.DbgkCreateThread可以发出两种消息, 一种进程创建,和线程创建消息. 当然, ntdll.dl...

VT VMCS结构信息

熟悉Intel VT的人都知道. 使用VT的过程, 基本上就是操作VMCS结构的过程. 这个结构非常的大. 非常复杂, 基本上和VT有关的东西都在这里. *这里是按照Intel 手册描述的VMCS的数据区组成部分依次填写 详细信息参考[开发日志2].VMCS数据区总共6个组成部...

bochs调试VT代码

这边使用bochs调试代码实在是太郁闷了. 今天我索性要将我所有bochs上遇到的调试问题说一下.想要用bochs调试(VT)代码一定要耐心, 不然就想杀人. 安装bochs的系统参考这个帖子 http://bbs.pediy.com/showthread.php?t=134693&highlight=bochs ...

NewBluePill打印系统

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线... NewBluePill这边的话结构非常的清晰,而且代码写的很...