Вопрос VMProtectIsDebuggerPresent/VMProtect Loader AntiDebug

exerciseweaxzx · Среда в 20:01

знаю, надеяться на ответ здесь смысла особого нет, но все же, авось повезет
через что вмп детектит наличие hwbp или же откуда он берет информацию о dr регистрах?

Maguars · Среда в 20:13

вмп не читает регистры напрямую, он их выгружает из контекста потока через сисколлы (GetThreadContext или напрямую NtGetContextThread)

alex212211221 · Среда в 20:32

Смотри, отладчик(дебаг) получает GetThreadContext, после чего ставит брейкпоинт по определенному адресу, SetThreadContext.

А Vmp получает GetThreadContext и смотрит на регистры dr, если они изменены, то он детектит отладчик
Вроде так

exerciseweaxzx · Среда в 20:51

Maguars написал(а):
вмп не читает регистры напрямую, он их выгружает из контекста потока через сисколлы (GetThreadContext или напрямую NtGetContextThread)

нет, он еще откуда-то их читает, не только через это апи, я проверял

Maguars · Среда в 20:57

exerciseweaxzx написал(а):
нет, он еще откуда-то их читает, не только через это апи, я проверял

вмп еще провоцирует исключение SEH/VEH

mhalaider · Среда в 20:59

Maguars написал(а):
вмп не читает регистры напрямую, он их выгружает из контекста потока через сисколлы (GetThreadContext или напрямую NtGetContextThread)

alex212211221 написал(а):
А Vmp получает GetThreadContext и смотрит на регистры dr, если они изменены, то он детектит отладчик
Вроде так

Откуда вы эту информацию взяли ? Есть исходники протектора в конце концов. Интересующий парт для ОПа:

C++:

{
    size_t drx;
    uint64_t val;
    CONTEXT *ctx;
    __try {
        __writeeflags(__readeflags() | 0x100);
        val = __rdtsc();
        __nop();
        return true;
    }
    __except (ctx = (GetExceptionInformation())->ContextRecord,
        drx = (ctx->ContextFlags & CONTEXT_DEBUG_REGISTERS) ? ctx->Dr0 | ctx->Dr1 | ctx->Dr2 | ctx->Dr3 : 0,
        EXCEPTION_EXECUTE_HANDLER) {
        if (drx)
            return true;
    }
}

Добавление 0x100 в EFLAGS устанавливает TrapFlag (TF) и триггерит исключение SINGLE_STEP для следующей инструкции. Оно в этом же SEH-обработчике ловится в блоке except, берётся сохранённая информация о регистрах и флагах на момент возникновения исключения и читаются дебаг регистры.

Остальные фишки антидебага у вмп строятся уже на мануальных сисколах NtQueryInformationProcess и всяких ловушках в аргументах этой функции (address misalign, просто невалид адрес или несуществующий хендл процесса).

Вопрос VMProtectIsDebuggerPresent/VMProtect Loader AntiDebug

Похожие темы