自建调试体系-重写NtDebugActiveProcess
自建调试体系-重写NtDebugActiveProcess
最近学习游戏方面的逆向,调试器无法正常附加,所以需要自建调试体系来进行调试。
NtDebugActiveProcess重写
以下代码从wrk中抄出来的:
NTSTATUS NtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle) {
NTSTATUS Status;
KPROCESSOR_MODE PreviousMode;
PDEBUG_OBJECT DebugObject;
EPROCESS* Process;
PETHREAD LastThread;
PAGED_CODE();
PreviousMode = KeGetPreviousMode();
Status = ObReferenceObjectByHandle(ProcessHandle,
PROCESS_SET_PORT,
PsProcessType,
PreviousMode,
&Process,
NULL);
if (!NT_SUCCESS(Status)) {
return Status;
}
if (Process == PsGetCurrentProcess() || Process == PsInitialSystemProcess) {
ObDereferenceObject(Process);
return STATUS_ACCESS_DENIED;
}
POBJECT_TYPE DbgkDebugObjectType = NULL;
Status = ObReferenceObjectByHandle(DebugObjectHandle,
DEBUG_PROCESS_ASSIGN,
DbgkDebugObjectType,
PreviousMode,
&DebugObject,
NULL);
if (NT_SUCCESS(Status)) {
if (ExAcquireRundownProtection(&Process->RundownProtect)) {
Status = DbgkpPostFakeProcessCreateMessages(Process,
DebugObject,
&LastThread);
//
// Set the debug port. If this fails it will remove any faked messages.
//
Status = DbgkpSetProcessDebugObject(Process,
DebugObject,
Status,
LastThread);
ExReleaseRundownProtection(&Process->RundownProtect);
}
else {
Status = STATUS_PROCESS_IS_TERMINATING;
}
ObDereferenceObject(DebugObject);
}
ObDereferenceObject(Process);
return Status;
}这个函数并不能直接使用,需要修复一些东西。首先需要考虑的是DbgkDebugObjectType这个。这个玩意在wrk中是一个全局变量。ida中也是一个全局变量
在ida中查看那些地方调用了它:
发现有这样一个函数,看函数名称应该是初始化之类的:
DbgkpInitializePhase0所以现在我们有两个思路:
- 直接通过特征码暴力定位该全局变量的地址
- 通过重写DbgkpInitializePhase0来进行初始化该变量。
两个方法各有优势和弊端,方法1优势就是省时省力,弊端是如果游戏保护将这个变量清零我们自写的东西就无法使用了。方法2优势是就算游戏保护清零也不影响,但是重写该函数又是一堆体力活。这里我选择使用方案1
定位DbgkDebugObjectType
既然要定位DbgkDebugObjectType,那么我们是需要一个信标的,回顾图2:
发现DbgkOpenProcessDebugPort调用了DbgkDebugObjectType,而NtQueryInformationProcess会调用DbgkOpenProcessDebugPort。那么思路就很明确了:
- 通过MmGetSystemRoutineAddress找到NtQueryInformationProcess函数地址
- 暴力搜索NtQueryInformationProcess函数找到call DbgkOpenProcessDebugPort指令
- 计算DbgkOpenProcessDebugPort地址后在通过特征码定位到DbgkOpenProcessDebugPort
通过windbg双机调试发现DbgkOpenProcessDebugPort在NtQueryInformationProcess+0x19d7de处:
查看NtQueryInformationProcess+0x19d7de-9:
所以第一个特征码产生了:
(*(DWORD_PTR*)(Address + i)) == 0x244c8b48d5b60f41但是显然仅仅靠这一个特征码是没办法定位出来的,我们在取call指令下面的8字节:
完整定位代码为:
UNICODE_STRING funcName;
RtlInitUnicodeString(&funcName, L"NtQueryInformationProcess");
DWORD_PTR Address = (DWORD_PTR)MmGetSystemRoutineAddress(&funcName);
for (size_t i = 0; i < 0x200000; i++)
{
if ((*(DWORD_PTR*)(Address + i)) == 0x244c8b48d5b60f41 && (*(DWORD_PTR*)(Address + i +0xE)) == 0x0098248c8b48d88b)
{
Address = Address + i + 10;
break;
}
}计算DbgkOpenProcessDebugPort函数位置
直接贴代码把:
DWORD32 DbgkOpenOffset = *((DWORD32*)Address);
DWORD64 DbgkOpenFuncAddres = (Address + 4) + DbgkOpenOffset;在获取到DbgkOpenFuncAddres的函数地址后
通过查看汇编代码来找出特征码进行定位:
特征码如下:
最终获取到DbgkOpenProcessDebugPort的代码如下:
DWORD64 ObjectTypeOffset = 0;
DWORD64 ObjectTypeAddress = 0;
for (size_t i = 0; i < 0x200000; i++)
{
if ((*(DWORD_PTR*)(DbgkOpenFuncAddres + i)) == 0x4828246c8840d8f6)
{
ObjectTypeOffset = (* (DWORD32*)(DbgkOpenFuncAddres + i + 10)) | ~(DWORD64)0xFFFFFFFF;
ObjectTypeAddress = (DbgkOpenFuncAddres + i + 0xE); //
break;
}
}
ObjectTypeAddress = ObjectTypeAddress + ObjectTypeOffset;ObjectTypeAddress 就是DbgkDebugObjectType的值了:
KeGetPreviousMode
这个函数就是获取了Kthread结构体中的PreviousMode,所以直接上代码应该很好理解:
KPROCESSOR_MODE KeGetPreviousMode() {
PKTHREAD pKthread = KeGetCurrentThread();
return (KPROCESSOR_MODE)((DWORD64)pKthread + 0x232); //Windows10 1909
}本文链接
http://www.pentester.top/index.php/archives/109/