지팡이의 블로그임

HamsterHide는 디버깅을 조금 더 편하게 해주는 유틸입니다 기능 기능은 다음과 같습니다 블랙리스트에 등록된 프로세스의 안티 디버깅 무력화 보호리스트에 등록된 프로세스의 숨김 모든 프로세스에 적용되는 설정 세부 기능은 다음과 같습니다 블랙리스트 프로세스 ProcessDebugFlags (NtQueryInformationProcess) ProcessDebugPort (NtQueryInformationProcess) ProcessDebugObjectHandle (NtQueryInformationProcess) DebugObject (NtQueryObject) SystemKernelDebuggerInformation (NtQuerySystemInformation) SystemDebugControl (Nt..

win32u.dll에서 syscall을 할 때 인덱스는 0x1000이상부터 시작된다 SSDT Shadow를 후킹할 때 해당 인덱스를 바로 사용하면 SSDT Shadow의 범위를 벗어나게 되고 잘못된 결과를 불러올 수 있다 사용하기 전에 0x1000을 빼고 해당 값이 테이블의 서비스 갯수를 초과하지 않는지 체크한 뒤 사용하는게 안전하다 SSDTStruct* SSDT = SSDTShadowfind(); if (!SSDT) { Log("SSDT not found...\n"); return 0; } ULONG_PTR SSDTbase = (ULONG_PTR)SSDT->pServiceTable; if (!SSDTbase) { Log("ServiceTable not found...\n"); return 0; } in..