内核反反调试插件 Kernel Anit Anit Debug Plugins
When debugging begins, a kernel object called “debug object” is created
调试开始时,将创建一个称为“调试对象”的内核对象
通过重写
NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx
等函数绕过调试对象(Process->DebugObject)以及其他关键位置实现反反调试效果
-
内核绕过DebugPort
-
应用层绕过DbgUiDebugObjectHandle (NtCurrentTeb()->DbgSsReserved[1])
-
应用层绕过PEB->BeingDebugged
-
支持创建进程和附加进程
-
....
-
(已完成)支持x64dbg
-
(已完成 待测试)支持cheat-engine
-
(已完成 有些是内核工程太大 不如在应用层做处理 内核做的话得不偿失)绕过大部分al-khaser应用层反调试手段
-
支持虚拟机双机调试 重写内核调试函数 绕过内核反调试检测
-
虚拟机双机调试支持VirtualKD
-
支持Win10
-
绕过部分游戏反调试保护(HS BE TP ...)
-
绕过VMP SE等反调试加壳
从左到右依次为
- 未启用内核模式 虚拟机正常运行al-khaser
- AADebugTest启动al-khaser
- x64dbg无插件模式下启动al-khaser
https://github.com/MeeSong/KTL 启用内核STL
https://github.com/MeeSong/TrialSword (private project) 参考了不少该项目代码
https://github.com/matt-wu 部分代码被我放在了该项目中 不过那部分代码已经从公开库中删除
申请加群 (780705352)
打开群成员界面 如果群成员中有人愿意为你担保入群(且群员投票同意的情况下)方可加入 否则一律拒绝
注:内部小群 大多都是同事或朋友
546110133