最新过双机调试KdDisableDebugger

mgzf110

1：调试TP先下断 bp KdDisableDebugger 再开游戏 断下后按下面的分析做

//第1步：先改下面4个：//这都是系统的偏移一般不会变 除非某游戏驱动不检测这里，偏移才作废

eb nt!KdDisableDebugger+26 75;eb nt!KdDisableDebugger+41 75;eb nt!KdDisableDebugger+1d 74; eb nt!
KdDisableDebugger+36 75

//改完上面的4个后，F10往下走,直到RETN的时候,我们r eax(EAX为函数的返回值,eax=0代表KdDisableDebugger返回失败,即可以进行双击调试。返回前自己确认一下是不是返回正确。

///////////第2步：//////////////////////下面再找TP的2处判断//////////////////////////////////////////
继续F10,
TesSafe+0x702e:
edc0702e 803e00          cmp     byte ptr [esi],0//找这个判断，ESI=1就是在调试状态，把下面跳改掉 eb TesSafe+0x7031 74
1: kd> p
TesSafe+0x7031:
edc07031 75b0            jne     TesSafe+0x6fe3 (edc06fe3)
//已找到一个，继续F10

//F10返回后就是一个CALL，自己U一下前后的代码看的更清楚，注意要单步进入CALL，最后一个在CALL内部
TesSafe+0xb4df:
edc2b4df e82ebcffff      call    TesSafe+0x7112 (edc27112)
//CALL内部：
1: kd> u TesSafe+0x7112
TesSafe+0x7112:
edc27112 a16c7bc3ed      mov     eax,dword ptr [TesSafe+0x17b6c (edc37b6c)]
edc27117 8b402c          mov     eax,dword ptr [eax+2Ch]
edc2711a 3305687bc3ed    xor     eax,dword ptr [TesSafe+0x17b68 (edc37b68)]
edc27120 7404            je      TesSafe+0x7126 (edc27126)
edc27122 ffd0            call    eax
edc27124 eb24            jmp     TesSafe+0x714a (edc2714a)
edc27126 803d7232c3ed00  cmp     byte ptr [TesSafe+0x13272 (edc33272)],0
edc2712d 751b            jne     TesSafe+0x714a (edc2714a)
edc2712f 6882010000      push    182h
edc27134 68e64d6e43      push    436E4DE6h
edc27139 6873426e57      push    576E4273h
edc2713e e849c9ffff      call    TesSafe+0x3a8c (edc23a8c)
edc27143 c6057232c3ed01  mov     byte ptr [TesSafe+0x13272 (edc33272)],1
edc2714a 8b0d6432c3ed    mov     ecx,dword ptr [TesSafe+0x13264 (edc33264)]
edc27150 85c9            test    ecx,ecx
edc27152 740f            je      TesSafe+0x7163 (edc27163)
edc27154 a16832c3ed      mov     eax,dword ptr [TesSafe+0x13268 (edc33268)]
edc27159 85c0            test    eax,eax
edc2715b 7406            je      TesSafe+0x7163 (edc27163)
edc2715d 3901            cmp     dword ptr [ecx],eax  //就是这个判断了 改下面的跳转 eb TesSafe+0x715f 75
edc2715f 7402            je      TesSafe+0x7163 (edc27163)
edc27161 8901            mov     dword ptr [ecx],eax
edc27163 c3              ret
//好了 到这里双机检测就完成了 总结下 ：
在启动游戏前，bp KdDisableDebugger 启动游戏断下后，直接修改下面的跳转,就可以正常调试了：
eb nt!KdDisableDebugger+0x26 75;eb nt!KdDisableDebugger+0x41 75;eb nt!KdDisableDebugger+0x1d 74; eb nt!
KdDisableDebugger+0x36 75;eb TesSafe+0x7031 74;eb TesSafe+0x715f 75

最后感谢所有论坛，默默的发贴者

qq1018944667

谢谢大神的分享

sunz7z8z9

我照你说的方法，断下后，直接修改跳转，虚拟机会卡住，（测试是寻仙）
eb KdDisableDebugger+36 75;eb KdDisableDebugger+41 75;eb KdDisableDebugger+1d 74;eb KdDisableDebugger+26 75;eb TesSafe+0x6ffb 74;eb TesSafe+0x7129 75
eb KdDisableDebugger+36 75;eb KdDisableDebugger+41 75;eb KdDisableDebugger+1d 74;eb KdDisableDebugger+26 75;

后，来到
                         jmp     TesSafe+0x6ff8 (edf61ff8)
edf61ff8 803e00          cmp     byte ptr [esi],0
TesSafe+0x6ffb:
edf61ffb 75b0            jne     TesSafe+0x6fad (edf61fad)  判断处，更改跳转  kd> eb TesSafe+0x6ffb 74
edf61ffd 5f              pop     edi
edf61ffe 5e              pop     esi
edf61fff c3              ret

再到这里
edf664a9 e82ebcffff      call    TesSafe+0x70dc (edf620dc)  进入该CALL
edf620dc a16c2bf7ed      mov     eax,dword ptr [TesSafe+0x17b6c (edf72b6c)]
kd> u edf620dc l50
TesSafe+0x70dc:
edf620dc a16c2bf7ed      mov     eax,dword ptr [TesSafe+0x17b6c (edf72b6c)]
edf620e1 8b402c          mov     eax,dword ptr [eax+2Ch]
edf620e4 3305682bf7ed    xor     eax,dword ptr [TesSafe+0x17b68 (edf72b68)]
edf620ea 7404            je      TesSafe+0x70f0 (edf620f0)  //修改为 75,跳过KeDisableDebugger函数
                                                               kd> eb TesSafe+0x70ea 75
edf620ec ffd0            call    eax   // KeDisableDebugger函数
edf620ee eb24            jmp     TesSafe+0x7114 (edf62114)
edf620f0 803d72e2f6ed00  cmp     byte ptr [TesSafe+0x13272 (edf6e272)],0
edf620f7 751b            jne     TesSafe+0x7114 (edf62114)//可能要跳转kd> eb TesSafe+0x70f7 74
edf620f9 688d010000      push    18Dh
edf620fe 68e64d6e43      push    436E4DE6h
edf62103 6873426e57      push    576E4273h
edf62108 e815c9ffff      call    TesSafe+0x3a22 (edf5ea22)
edf6210d c60572e2f6ed01  mov     byte ptr [TesSafe+0x13272 (edf6e272)],1
edf62114 8b0d64e2f6ed    mov     ecx,dword ptr [TesSafe+0x13264 (edf6e264)]
edf6211a 85c9            test    ecx,ecx
edf6211c 740f            je      TesSafe+0x712d (edf6212d)
edf6211e a168e2f6ed      mov     eax,dword ptr [TesSafe+0x13268 (edf6e268)]
edf62123 85c0            test    eax,eax
edf62125 7406            je      TesSafe+0x712d (edf6212d)
edf62127 3901            cmp     dword ptr [ecx],eax
edf62129 7402            je      TesSafe+0x712d (edf6212d) // TesSafe+2703,跳转处理 （关键跳）
                                                           //eb TesSafe+0x7129 75
edf6212b 8901            mov     dword ptr [ecx],eax
edf6212d c3              ret

天殇幻影

谢谢分享,楼主继续加油

285138286

弄好后机子重启

caomei

回复是一种美德。。。。。。。。收