[讨论]特别不理解为什么*P访问KdEnteredDebugger为什么要通过IoAllocateMdl-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼因为直接使用VA访问可以被硬断捕获然后XX 2017-5-29 17:47 1
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 3 楼 hzqst 因为直接使用VA访问可以被硬断捕获然后XX 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通过IoAllocateMdl去过WRITEPROTECT修改的，这样理解对吗？ 2017-5-29 18:17 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 4 楼 hzqst 因为直接使用VA访问可以被硬断捕获然后XX 你指的VA访问是R3下访问？ 2017-5-29 18:46 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 5 楼 style 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通过IoAllocateMdl去过WRITEPROTECT修改的，这样理解对吗？ MDL映射可以通过另一个虚拟地址访问&KdEnteredDebugger这个地址，避免了被windbg ba r4 KdEnteredDebugger跟踪到检测代码的尴尬，我这样说明白了吗 2017-5-29 20:13 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 6 楼 1楼解释的很清楚，感谢一楼， 2017-5-30 08:43 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 7 楼 hzqst style 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通 ... 初衷应该只是MDL稳定但是强行不被断VA访问的话通过windbg下就死循环了疯狂进入调试器这里纠正说法：避免了被IDA断下跟踪到代码的尴尬 2017-5-30 09:59 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 8 楼 ugvjewxf 1楼解释的很清楚，感谢一楼，谢谢指点，明白了其实就是P防止反调试的一种方式：不让用户简单的直接通过调试工具下断VA地址而轻松的跟踪到P访问KdEnteredDebugger的位置。 2017-5-30 12:28 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 9 楼空白即是正义初衷应该只是MDL稳定但是强行不被断VA访问的话通过windbg下就死循环了疯狂进入调试器这里纠正说法：避免了被IDA断下跟踪到代码的尴尬感谢空白，看空我很多关于P的文章，帮助特别大也终于明白了P通过MDL的初衷了 2017-5-30 12:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼因为直接使用VA访问可以被硬断捕获然后XX 2017-5-29 17:47 1
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 3 楼 hzqst 因为直接使用VA访问可以被硬断捕获然后XX 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通过IoAllocateMdl去过WRITEPROTECT修改的，这样理解对吗？ 2017-5-29 18:17 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 4 楼 hzqst 因为直接使用VA访问可以被硬断捕获然后XX 你指的VA访问是R3下访问？ 2017-5-29 18:46 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 5 楼 style 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通过IoAllocateMdl去过WRITEPROTECT修改的，这样理解对吗？ MDL映射可以通过另一个虚拟地址访问&KdEnteredDebugger这个地址，避免了被windbg ba r4 KdEnteredDebugger跟踪到检测代码的尴尬，我这样说明白了吗 2017-5-29 20:13 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 6 楼 1楼解释的很清楚，感谢一楼， 2017-5-30 08:43 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 7 楼 hzqst style 你的意思是默认全局KdEnteredDebugger是不能直接修改的，而他不是通过CR0方式修改的，而是通 ... 初衷应该只是MDL稳定但是强行不被断VA访问的话通过windbg下就死循环了疯狂进入调试器这里纠正说法：避免了被IDA断下跟踪到代码的尴尬 2017-5-30 09:59 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 8 楼 ugvjewxf 1楼解释的很清楚，感谢一楼，谢谢指点，明白了其实就是P防止反调试的一种方式：不让用户简单的直接通过调试工具下断VA地址而轻松的跟踪到P访问KdEnteredDebugger的位置。 2017-5-30 12:28 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 9 楼空白即是正义初衷应该只是MDL稳定但是强行不被断VA访问的话通过windbg下就死循环了疯狂进入调试器这里纠正说法：避免了被IDA断下跟踪到代码的尴尬感谢空白，看空我很多关于P的文章，帮助特别大也终于明白了P通过MDL的初衷了 2017-5-30 12:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复