Что нового?

Вопрос Аппаратный брейкпоинт

Dimason2233
D
Новичок
Статус
Оффлайн
Регистрация
23 Авг 2023
Сообщения
1
Реакции[?]
0
Поинты[?]
0
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
 
Liberalist
L
Участник
Статус
Оффлайн
Регистрация
23 Май 2019
Сообщения
783
Реакции[?]
331
Поинты[?]
63K
Dimason2233 написал(а):
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
Нажмите для раскрытия...
попроси ядро за тебя поставить эти дебаг регистры(через syscall).
(Nt)SetThreadContext тебе нужен
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Aesthetic47
(\ /) _ ($ __ $ ) _ (\ /)
Aesthetic47
Пользователь
Статус
Оффлайн
Регистрация
22 Окт 2021
Сообщения
368
Реакции[?]
92
Поинты[?]
24K
Dimason2233 написал(а):
Прочитал, что при обращении к регистрам DrX (установка hardware breakpoint), процессор проверяет откуда поступил запрос на изменение этих регистров и если не от ядра (драйвера) - процессор не даёт изменить регистры (или сразу их обнуляет, тут тоже вопрос). Так же прочитал, что можно в реальном режиме попробовать ставить регистры, но тоже сомневаюсь. Цель - считать регистр RAX и RCX, когда вызывается инструкция по адресу, который находится через сигу (поиск уже реализован как часы).

Есть ли простой способ решения? Возможно ли изменить CS регистр для маскировки под ядро или упор в ту же проблему доступа? Насколько сложно написать драйвер? Я бы хотел разобраться, если можете скиньте статей.
Нажмите для раскрытия...
Советую почитать - https://vk.com/@haccking1-skrytyi-potencial-registrov-otladki-dr0-dr7
Ты можешь написать драйвер используя dr0, чтобы ставить брикпоинты и считывать регистры какие тебе нужны - RAX, RCX. Нашел на гитхабе что-то похожее, но для x86:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Войдите или зарегистрируйтесь для ответа.
Похожие темы
F0rtune
Вопрос Проблема с установкой точки останова в x64dbg
Ответы
2
Просмотры
432
F0rtune
F0rtune
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Сверху Снизу