在0环对3环的反调试中，最常用的应该就是DebugPort清零。先介绍一下这个DebugPort是什么东西。当调试器附加一个进程时，会调用NtDebugActiveProcess附加进程，这个函数会调用DbgkpPostFakeProcessCreateMessages告诉调试器创建调试线程（DbgkpPostFakeThreadMessages）并加载调试所需模块（DbgkpPostFakeModuleMessages）,然后再调用DbgkpSetProcessDebugObject，这个函数会把DebugObject设置到进程_EPROCESS.DebugPort下。 这个调试对象可就很有用了，在调试过程当中，0环会通过这个对象将调试信息发送到三环调试器，那同样意味着我们对这个位置的清零会使三环调试器接收不了任何调试信息，以此实现了反调试。

在一些强对抗环境下，当我们试图在三环下用API去读取别的进程的内存往往会收到诸多限制，比如r3花式hook，r0句柄降权，改进程结构体等等等等，稍微有些保护就可以使得 ReadProcessMemory、WriteProcessMemory 这些API失效，因此需要设计驱动能在r0层读写内存。

大家都太强太卷了，人均可视化套接字，逼的本菜鸡被迫也要来卷一下。 为了不落俗套又要为紧张的期末（睡觉）省时间，这次整了个双语言+QT+Socket

以下提供核心代码和调试细节

任务书

题目

赫夫曼编码译码器

内容简介

这个月找了点资料，整了整CSGO的外挂。总体感觉CSGO官匹的保护还是很宽松的，这里记录一下设计思路与过程（这博客我竟然鸽了一个多月….老拖延症了

地址寻找

既然是实现辅助，那我们必然要对游戏中一些内存的值做读写，而实现读写的前提是我们知道它们在内存中的地址。所以做辅助前需要花大量的时间去寻找我们所需变量在内存中的地址。

极客大挑战真是超棒的新生赛，感谢四叶草

No RE no gain

下载并安装学习IDA

我真不会写驱动

别被hint唬到了，这玩意压根就不需要调试驱动。

IDA打开驱动文件，Shift+F12 字符串搜索，发现flag

（就这就这？

这次比赛，感觉题目质量很一般，反正湖湘杯，大家懂的都懂

WEB

WEB1 题目名字不重要反正题挺简单的

?file=phpinfo

DASCTF{d98cdaf0e8436c07b0e291b2adb30469}

因为某些特殊原因，本篇隐藏 原因懂得都懂（

题目质量很高，yusa很好看，签到很快乐，明年还来（

Web

NewUpload

打开是一个文件上传界面，文件名不能含有php，还会对文件头部进行检查，经过测试发现换行能够绕过文件名的过滤。

上传马成功，但是发现好像POST传值有点问题，应该是被过滤了，将POST内容使用base64加密绕过，成功进入命令执行，进入phpinfo，发现PHP版本为7.4，有disable_function和open_basedir。

队里来了好几个挂佬，这个暑假跟着他们学习了一些辅助制作的技巧。我把其中部分常用的技巧整理出来用扫雷这款游戏实现了一遍，然后写了这篇文章。至于为什么选扫雷这款游戏呢，首先这款游戏是我见过的第一款电脑游戏，又是我学习外挂制作过程中用于学习的第一款游戏，非常有纪念意义。而且，这款游戏非常简单，但是其组成部分又非常完整，“麻雀虽小，五脏俱全”，可以用各种各样的方式对其实现外挂，特别适合用作教学。

这次比赛虽然很辛苦，爆肝了两天，但是在这个过程中让我学习到很多东西，看到了很多有意思的题目，比起前天的国赛，有趣的多。整一个比赛过程虽然出现了很多插曲，但最终还是以第31名出线

Nepnep，冲鸭！

0x01 侧防