对付TP的DbgkpSetProcessDebugObject和DbgkpQueueMessage的方法

那个谁

过TP的DbgkpSetProcessDebugObject和DbgkpQueueMessage

我们在虚拟机里开一个计算器(用于调式测试)

此时，开启OD，先不要附加

先用WINDBG暂停虚拟机下 bp DbgkpQueueMessage ，然后G
OD附加calc.exe 此时WINDBG断下
以下是DbgkpQueueMessage 的调用堆栈
这个是附加的时候



图片:图片1.png

这个是DbgkpQueueMessage的调用堆栈 （这个函数被频繁调用），附加的时候只命中了这里

这个是DbgkpQueueMessage的调用堆栈 （这个函数被频繁调用），重新加载的时候命中这些地方



图片:图片2.png



图片:图片3.png



图片:图片4.png

综上所述
调试器间接调用了 DbgkpPostFakeThreadMessages和DbgkpSendApiMessage

DbgkpPostFakeModuleMessages

我们解析PDB就可以定位到DbgkpPostFakeThreadMessages和DbgkpSendApiMessage
通过R3层解析完，派遣传入R0层，直接使用即可绕过方法，和对付KiAttachProcess一样，要在外部函数绕过，TP对DbgkpQueueMessage有重启校验，直接恢复会重启
//===========================================================================
这个是DbgkpSetProcessDebugObject的调用堆栈 （这个函数只调用了一次）