首页 > 其他分享 >反反调试记录

反反调试记录

时间:2024-03-26 17:56:36浏览次数:19  
标签:ProcessHeap 记录 调试 PEB EPROCESS Peb ForceFlagsOffset

  1. _EPROCESS->Peb(_PEB)->BeingDebugged 置0
  2. _EPROCESS->Peb(_PEB)->NtGlobalFlag 置0
  3. _EPROCESS->Peb(_PEB)->ProcessHeap as ProcessHeap

    调用 IsWindowsVistaOrGreater
    如果大于等于 windows vista

    ​ as FlagsOffset = 0x70

    ​ as ForceFlagsOffset = 0x74

    否则

    ​ as ProcessHeapOffset = 0x14

    ​ as ForceFlagsOffset = 0x18

    *(PULONG)(*ProcessHeap + FlagsOffset) < 2 就没有再调试 所以置 HEAP_GROWABLE(0x2)

    *(PULONG)(*ProcessHeap + ForceFlagsOffset) == 0 就没有再调试 所以置 0

  4. 对付目标不断自己产生异常的问题 记录目标触发异常的地址 列出来 可以选择忽略目标异常地址 即可
  5. NtQueryInformationProcess -> ProcessDebugFlags 原理检查 _EPROCESS->Flags.NoDebugInherit 1 调试 0 未调试

标签:ProcessHeap,记录,调试,PEB,EPROCESS,Peb,ForceFlagsOffset
From: https://www.cnblogs.com/kuangke/p/18097214

相关文章

  • 【日常记录】【JS】Clipboard API 剪切板API
    文章目录1、ClipboardAPI2、方法2.1read2.2readText2.3write2.4writeText3、阻止用户复制内容4、在复制的文字后面追加内容5、读取剪切板内容6、让图片插入到剪切板1、ClipboardAPIClipboard接口实现了ClipboardAPI,如果用户授予了相应的权限,其就能提供系......
  • 【附源码】Node.js毕业设计个人健康信息记录移动应用app(Express)
    本系统(程序+源码)带文档lw万字以上  文末可获取本课题的源码和程序系统程序文件列表系统的选题背景和意义选题背景:随着科技的进步和互联网的普及,移动应用已经成为人们日常生活中不可或缺的一部分。在健康管理领域,个人健康信息记录移动应用APP的开发和应用也日益受到关注......
  • Linux调试小技巧总结
    1如果你是release运行时出问题,很难复现请,参考我的这篇博客,在编译之初做好准备  https://www.cnblogs.com/8335IT/p/18079295  linux上编译release并剥离调试信息  配合gdbattachpid/c/breakXXX.cpp:lineNo./s/n/pstack等在线调试(root)2如果你是测试过程中发现crash......
  • 一次快速使用docker安装mysql8.0记录(配置和数据挂载到指定目录)
    mkdir/home/mysql8vim/home/my.cnf[mysql]#设置mysql客户端默认字符集default-character-set=UTF8MB4[mysqld]port=3307max_connections=200max_connect_errors=10#修改加密方式,因为mysql8.x版本默认的密码加密的方式,Navicat识别不了,需修改为mysql_native_password......
  • 分析回调接口的记录
    分析回调接口的一个重要指标就是:方向性。WhycanextendsainterfacegetacallbackinJava?BurpSuite提供了一个标准的API接口,插件开发者需要实现其中的某些接口和方法,并通过BurpSuite提供的扩展性框架注册和加载插件。BurpSuite在运行时会自动发现并调用插件中实现的特......
  • oracle错误记录
    2024-03-2608:15:08,530INFO org.apache.flink.kafka.shaded.org.apache.kafka.common.metrics.Metrics[]-Metricsreportersclosed2024-03-2608:15:08,531INFO org.apache.flink.kafka.shaded.org.apache.kafka.common.utils.AppInfoParser[]-Appinfokafka.p......
  • 【嵌入式学习笔记】---- 嵌入式系统调试工具
    嵌入式系统调试工具对于开发和调试嵌入式系统非常重要,它们使开发人员能够有效地检查和修改目标设备的硬件和软件状态。以下是几种常见的嵌入式系统调试工具及其使用方法:JTAG(JointTestActionGroup):JTAG是一种通用的硬件调试接口标准,用于测试PCB上的电路、诊断硬件故障和调试......
  • 笔试错题记录
    一、Linux相关1.Linux删除变量的命令——unset       二、MySQL1.各种类型的索引全文索引效率低下,只适合模糊搜索;  2.MySQL中的枚举类型                  三、设计模式 1.浏览器的事件模型使用了哪种设......
  • Profinet转Modbus网关的调试与故障排除教程
    Profinet转Modbus网关(XD-MDPN100)带有网口和串口很大限度地解决了设备接口不统一的问题,支持485和232,可以实现从Modbus通信协议到Profinet通信协议的无缝转换,为不同协议之间的互联互通提供了便利。Profinet转Modbus网关(XD-MDPN100)的调试与故障排除教程通常涉及一系列步骤来确保网......
  • 一些好用的小众软件记录
    1.电脑(Windows):搜索:everythingPDF阅读:SumatraPDF录屏生成gif:screentogif视频播放器:vlcRSS广播订阅:vlc网页视频下载:neatdownloadmanager密码管理:keepassSQLite可视化:dbbrowserSQL工具:dbeaver2.手机(安卓)广播:podcastgoPDF阅读:readera综......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99