idt win7

结果发现这里面的数据和系统IDT完全不一样，根本牛头不对马嘴，这里有个CALL，我们跟进去。

然后发现还是牛头不对马嘴。

这里面一大堆计算，他还ret了出来。所以这是肯定一段混淆，然后用ret返回真实的idt地址。

这是以前分析的，所以前面地址不一样。

入口这里还是没有变化，这里看不懂啥意思的话，可以自己去分析一遍，我写的可能有点乱。

0x03

现在的IDT才对，一大堆保持环境，因为这里是，所以进来的时候rsp所在的位置是+的位置，这个结构在我上篇分析IDT的帖子里有图片：

因为veh断点是R3的操作，所以我们来看R3的处理。他干了啥，我文档上和上面显示的地址不是一样的，不过代码他没有变，都是一样的。

因为我文档有注释，所以我们看文档(在win7双机调试dnf的时候会发现能断下来，但是不能单步。就是这里搞的鬼R0处理的地方他有个单步位取反的操作)

他判断先前模式后，然后有各自的操作，下面是R3：

这里他进了一个CALL有4个参数，当前+我们跟进去

这里面这个用方框框起来的地方，不知道这串运算有啥用，好多地方都有这样的运算，看不懂，晕晕...

0x04

然后碰到了第一个CALL，参数就一个cr3穿进去比较。

这里找到里个一存储CR3的数组，我们用看看里面的东西：

这是一个存储结构体指针的指针，而这个结构体就是存储CR3之类信息的结构体，往下面看汇编代码：

我们发现，他取到了这个结构体指针，用CR3和偏移为07080的几个值比较了，所以这里应该存的也是CR3。

用WINDBG看：

从图中可以看出这个结构体0偏移位置为假的cr3，因为他PTML4都是空的。

经测试+0x70是存储真实CR3的位置。

判断相同，对上了就会直接CR3就会直接返回，跳出去：

这个函数里就做了一件事清，循环判断了CR3。判断正确了，就返回这个存储CR3的结构体指针。错误了，就返回0。图中我们看r8是结构体的指针ebx是循环了多少遍。

这里乘以c700我们可以猜测出，这个结构体大小为c700。

现在TP更新了，这个结构体大小变成D828了。

然后我们返回到上一层。

0x05

进call

这个Call貌似没啥用，虽然这里面有个Call清除dr6，但是我当时测试的时候，他好像压根就不执行。

继续出去往下看：

这里他开始判断，有没有异常了。第一个判断，你有异常，就会被拦截然后调到他的处理里面。

但是这下面几个判断，不知道是写错了还是怎样。判断DR寄存器有值了，他就会直接返回并且这里最后rax=0andr12的话。

就是返回0。如果从上一行movsil,r14b进入下面的话，那么rax最后=0xfffffffffandr12(传进来的cr3)就是返回个cr3。

所以这里处理硬段失效，我们只需要把这个地方NOP掉就行了。

这下面几个判断，我寻思着估计是代码写错了8，可能tp程序员有别的考虑

然后下面代码分析的都迷迷糊糊的，不知道他在干啥。

最后下面分析不下去了，看他操作把自己看的很迷。

返回上一层吧，现在真实CR3有了，然后硬段也能下了。

这里有个清空单步异常的操作，但是不能nop。很麻，nop掉Dnf就GG了。

0x06

然后现在调试模式用veh下访问断

可能是我直接写回了cr3，也肯是我开了xt和Ce被制裁了8。

已经可以了断了，但是就是不能单步。这个idt win7单步有人可能会说把那个判断返回系统01还是直接返回单步的地方jmp就可以了嘛。

但是dnf自己会制造这个单步异常，单步异常给系统01。系统01貌似不能正确的处理。

而且这个单步异常的触发地方奇奇怪怪，各式各样，哪里都会触发。当时我就在想：“他到底是怎么做到这个异常的呢？直到最近分析idt0E的时候发现dnf他会在0E里面设置单步”

而且改返回的rip地址，所以这就验证了为啥这里直接改成JMP，只是一个单步异常而已01会处理不了。

因为0e里面还改返回RIP了（也有可能我分析错了，只是猜测）

这是0e的部分分析

0x07

然后来测试用OD附加会出现什么样的问题

断到了（这都是骗人的，有时会断不到）但是程序崩溃会出这个400001f单步异常，这个单步估计就要处理0E才能搞定了。

0x08

本人技术有限，只能分析出这么多。可能有的地方分析有误，想要OD能调试和能单步跑的，可以去分析下TP的0E。

最后有个问题很疑惑：为啥TP既然IDT0E都上了，不把内存隐藏搞上去，这样需要hook的外挂不就全死了。

读写和执行不是一页，你要HOOK让你写假页面，你还以为你hook成功了。但是他就是不执行你的代码。

可能是在放水或者不稳定8

这东西分析的头皮发麻，越分析越懵逼

-End-

看雪ID：不吃麻婆豆腐

本文由看雪论坛不吃麻婆豆腐原创

戳立即购买！