Что нового?

Вопрос Аппаратный брейкпоинт

Dimason2233
Новичок
D
Новичок
Статус
Оффлайн
Регистрация
23 Авг 2023
Сообщения
1
Реакции
0
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
 
Dimason2233 написал(а):
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
Нажмите для раскрытия...
попроси ядро за тебя поставить эти дебаг регистры(через syscall).
(Nt)SetThreadContext тебе нужен
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Dimason2233 написал(а):
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
Нажмите для раскрытия...
Советую почитать - https://vk.com/@haccking1-skrytyi-potencial-registrov-otladki-dr0-dr7
Ты можешь написать драйвер используя dr0, чтобы ставить брикпоинты и считывать регистры какие тебе нужны - RAX, RCX. Нашел на гитхабе что-то похожее, но для x86:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

colby57
Гайд [Reverse-Engineering] Разбор Overwatch 2: Исключения, ремаппинг, антиотладка
Ответы
13
Просмотры
4K
WantToFreak
WantToFreak
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу