-
Remote Debugging 감지Hack/Reversing 2015. 1. 12. 03:06Remote Debugging에 관한 정보-http://codeengn.com/archive/Reverse%20Engineering/Tools/IDA%20Remote%20Debugging%20%5BCodeEngn%5D.pdf해당 문서를 참고하시면 됩니다.
해당 글에서는 리모트 디버깅을 감지하는것에대해 알아볼것입니다
터널에서는 KD_DUBGGER_NOT_PRESENT라는 변수를 통해 시스템이 디버깅중인지 아닌지를 판단해줍니다.
이 변수를 확인하기위해 KdRefreshDebuggerNotPresent()이 함수를 사용할것입니다
해당소스에선, BOOL값이 FALSE라면 디버깅중인걸로 판단하고 디버거 어태치를 출력시킵니다.
디버깅 판단여부는 BOOL 변수값에 달렸어요!
또 원격디버깅을할때는 /debugport옵션이 들어가는데, 이것을 체크해서 원격디버깅중인지 아닌지를판단할수있는 방법도있습니다.
'Hack > Reversing' 카테고리의 다른 글
DebugActiveProcess() (0) 2015.01.13 OpenProcess() (0) 2015.01.13 CreateProcessA() (0) 2015.01.12 INT3, INT1 (0) 2015.01.12 CheckRemoteDebuggerPresent 우회 (0) 2015.01.12