HamsterHide는 디버깅을 조금 더 편하게 해주는 유틸입니다
기능
기능은 다음과 같습니다
- 블랙리스트에 등록된 프로세스의 안티 디버깅 무력화
- 보호리스트에 등록된 프로세스의 숨김
- 모든 프로세스에 적용되는 설정
세부 기능은 다음과 같습니다
블랙리스트 프로세스
- ProcessDebugFlags (NtQueryInformationProcess)
- ProcessDebugPort (NtQueryInformationProcess)
- ProcessDebugObjectHandle (NtQueryInformationProcess)
- DebugObject (NtQueryObject)
- SystemKernelDebuggerInformation (NtQuerySystemInformation)
- SystemDebugControl (NtSystemDebugControl)
- NtClose (STATUS_INVALID_HANDLE/STATUS_HANDLE_NOT_CLOSABLE exceptions)
- ThreadHideFromDebugger (NtSetInformationThread)
- Protect DRx (HW BPs) (NtGetContextThread/NtSetContextThread)
보호리스트 프로세스
- Process Enum (SystemProcessInformation, SystemSessionProcessInformation, SystemExtendedProcessInformation, SystemFullProcessInformation)
- Handle Enum (SystemExtendedHandleInformation, SystemHandleInformation)
- OpenProcess (NtOpenProcess)
- CreateFile (NtCreateFile)
- OpenFile (NtOpenFile)
- Job Enum (NtQueryInformationJobObject)
- NtUserQueryWindow (HWND -> PID, TID)
- NtUserGetForegroundWindow
- NtUserWindowFromPoint
- NtUserFindWindowEx
- NtUserBuildHwndList
모든 프로세스에 적용된 설정
- Code Integrity (SystemCodeIntegrityInformation)
- CreateFile (NtCreateFile)
- OpenFile (NtOpenFile)
도구
작업을 하는데 유용한 도구를 포함하고 있습니다
- Shark
- KDU
- 테스트모드 On/Off 유틸
'날먹을 위한 몸부림 > 리버싱' 카테고리의 다른 글
| ssdt index 뷰어 (0) | 2022.05.27 |
|---|---|
| ntdll.dll에서 SSDT Index 가져오기 (1) | 2022.05.26 |
| HamsterHide 사용법 - 상세 설정 (9) | 2022.04.20 |
| HamsterHide 사용법 - 간편 사용 (0) | 2022.04.20 |
| SSDT Shadow의 인덱스 (0) | 2022.04.06 |