静态反调试1

最新推荐文章于 2024-10-15 15:02:51 发布
最新推荐文章于 2024-10-15 15:02:51 发布
阅读量324 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alice0X/article/details/122849553
版权

一.PEB.BeingDebugged

BeingDebugged成员是一个标志(Flag),用来标识进程是否处于被调试状态。

进程处于调试状态时,PEB.BeingDebugged成员(+0x2)的值被设为1(TRUE);进程在非调试状态下运行时,值被设置为0(FALSE).

IsDebuggerPresent()API获取PEB.BeingDebugged的值来判断进程是否处于被调试状态,

IsDebuggerPresent()函数就是先获取TEB结构地址,再通过TEB.ProcessEnvironmentBlock成员(+0x30)获取PEB的地址,然后访问PEB.BeingDebugged成员.

二.NtQuerylnformationProcess()

函数原型:

__kernel_entry NTSTATUS NtQueryInformationProcess(

[in] HANDLE ProcessHandle,

[in] PROCESSINFOCLASS ProcessInformationClass,

[out] PVOID ProcessInformation,

[in] ULONG ProcessInformationLength,

[out, optional] PULONG ReturnLength );

通过这个API可以获得与进程调试相关的信息,ProcessInformationClass参数是一个枚举类型,其与调试器探测有关的成员为

ProcessDebugPort(0x7),ProcessDebugObjectHandle(0x1e),ProcessDebugFlags(0x1f)

ProcessDebugPort:

进程处于被调试状态时,系统会为它分配1个调试端口,当ProcessInformationClass设置为ProcessDebugPort时,就能获取调试端口,若进程处于调试状态,其获取的值为0xffffffff,反之则为0。

CheckRemoteDebuggerPresent()API与IsDebuggerPresent相似,但CheckRemoteDebuggerPresent还可以用来检测其他进程是否处于被调试状态,在CheckRemoteDebuggerPresent函数里,则是调用了NtQuerylnformationProcess,其第二个参数正是ProcessDebugPort。

ProcessDebugObjectHandle:

调试进程时会生成调试对象,当ProcessInformationClass设置为ProcessDebugObjectHandle时,就能获取到调试对象句柄,进程处于调试状态时,调试对象句柄就存在,反之则为NULL.

ProcessDebugFlags:

检测Debug Flags(调试标志)的值也可以判断进程是否处于被调试状态,当ProcessInformationClass设置为ProcessDebugFlags时,就能获取调试标志的值,为0则处于调试状态,反之则为1。

Alice0X
关注
180306 逆向-调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1829
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
静态调试技术
CSDN_2023的博客
03-12 3813
文章目录声明静态调试目的注意PEBhttps://blog.csdn.net/CSNN2019/article/details/113113347BeingDebugged(+0x2)破解之法:Ldr(0xc)破解之法:ProcessHeap(+0x18)Flags(0xC)&Force Flags(+0x10)破解之法:NtGlobalFlag(+0x68)破解之法调试程序代码调试技术系列: 声明 静态调试目的 被调试的进程用静态调试技术来侦测自身是否处于被调试状态,若侦测到处于被调试的状
C/C++ 程序调试的方法
CSDN
08-18 6088
C/C++ 要实现程序调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测调试,MapFileAndCheckSum,等都可实现调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
BeingDebugged引发的蝴蝶效应
Hu4
03-05 962
IsDebuggerPresent函数用来判断自己是否处于调试状态。 BOOL APIENTRY IsDebuggerPresent( void ) { return NtCurrentPeb()->BingDebugged; } 这个函数会读取到PEB中的BeingDebugged标志(PEB:进程环境块) PEB(Process Environment ...
8.2 BeingDebugged
CSDN
09-26 4227
BeingDebugged 是`Windows`系统`PEB`结构体中的一个成员,它是一个标志位,用于标识当前进程是否正在被调试。BeingDebugged的值为0表示当前进程未被调试,值为1表示当前进程正在被调试。由于`BeingDebugged`是在`PEB`结构体中存储的,因此可以通过访问`PEB`结构体来获取`BeingDebugged`的值。恶意软件可以使用`BeingDebugged`来判断自己是否正在被调试,以此来防止被病毒工程师或调试程序进行分析。病毒工程师们也可以通过检查`BeingD
PEB(调试
lwhaaaa的博客
04-26 1198
文章目录0x01 PEB 简介0x02 成员介绍一、BeingDebugged二、Ldr三、ProcessHeap四、NtGlobalFlag 0x01 PEB 简介 ​ PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化。其中与我们的调试有较大关系的成员有: +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +
iOS应用调试技术之静态调试检测
本文将从iOS应用调试调试的基础知识入手,讨论静态调试检测作为一种重要的防护手段,并着重介绍静态调试检测的原理、实际应用、改进与优化,最终探讨iOS应用调试技术的未来发展方向。 在介绍各个章节的...
调试技术(一)--静态调试
对着世界说你好
03-13 2288
静态调试技术以及调试破解技术
易语言源码易语言调试模块源码.rar
02-18
1. **调试器检测**:调试技术首先涉及到的是如何检测系统中是否存在调试器。常见的检测方法包括检查进程表、异常处理机制、内存映射、API调用等。例如,程序可以通过检查自身是否被附加了调试器(如使用...
调试手段 源码加注释
05-05
1. **检查调试器存在**:这是最基础的调试手段,程序会检查自身是否正在被调试。例如,通过读取PE头中的`IMAGE_DEBUG_DIRECTORY`结构来查找调试信息,或者检查`PEB(Process Environment Block)`中的`...
VB.NET 从PEB->BeingDebugged标志位判断被调试
12-09 690
说实在的我本是想从PEB中保存 调试对象句柄 的标志位判断是 否被调试的,可惜搞了个多小时也没搞定 实在算不准偏移到底 是好多、当然可以在WinDbg在DT !PEB不过真的很麻烦,我在 网上找了一些PEB结构的声明,最后我再Nirsoft.NET上找到了 一个很全面地PEB结构声明,说实在话看的我不知所云、好吧 保存调试对象句柄的标志位为 -> ULONG SystemReser
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2123
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁
调试技术
qq_36963214的博客
11-05 1107
Windows调试技术 Windows API调试 IsDebuggerPresent 用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下: MOV EAX,DWORD PTR FS:[0x30] MOVZX EAX,BYTE PTR DS:[EAX+0x2] RETN FS寄存器指向的是TEB(线程环境块),其数据结构如下: typedef struct _NT_TEB { NT_
调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1727
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1114
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
200kw直流电子负载测试的安全保障
最新发布
SHANGHAIWENSHUN的博客
10-15 407
只有这样,才能有效地提高测试的效率和质量,保证电力电子设备的安全和可靠运行。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 694
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值