静态反调试技术

最新推荐文章于 2023-05-05 11:23:32 发布
最新推荐文章于 2023-05-05 11:23:32 发布
阅读量3.7k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_2023/article/details/114709624
版权
本文详细介绍了Windows系统中静态反调试的目的和方法,包括检查PEB结构体的BeingDebugged、Ldr、ProcessHeap的Flags和Force Flags以及NtGlobalFlag等字段。文章还探讨了针对这些反调试技术的破解手段,并提到了不同Windows版本中这些技术的适用性和变化。
摘要由CSDN通过智能技术生成

文章目录

声明

静态反调试目的

被调试的进程用静态反调试技术来侦测自身是否处于被调试状态,若侦测到处于被调试的状态,则执行非常规代码(主要是终止代码)来阻止。具体的实现方法包括调试器检测方法调试环境检测方法强制隔离调试器的方法等等。反调试破解方法主要用来从探测代码获取信息然后修改信息本身使反调试技术失效

注意

许多静态反调试技术对OS具有很强的依懒性。这意味着静态反调试技术在Windows XP 系统下可以正常使用,而在Windows Vista/7操作系统中可能失效

接下来的东西需要用到以下知识,请自行查看:

PEB

https://blog.csdn.net/CSNN2019/article/details/113113347

 +0x002 BeingDebugged    : UChar
 +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
 +0x018 ProcessHeap      : Ptr32 Void
 +0x068 NtGlobalFlag     : Uint4B

BeingDebugged(+0x2)

kernel32.dll中有个名Kernel32!IsDebuggerPresent()的API,但普通的应用程序开发中并不常用:

BOOL WINAPI IsDebuggerPresent()

该API就是用来判断当前进程是否处于调试状态,并返回判断结果。而该API就是通过检测PEB.BeingDebugged成员来确定是否正在调试程序(是,则返回1;否,则返回0)。

老办法,查看一下OD:

在这里插入图片描述
代码如下:

75074E80 >  64:A1 30000000  mov eax,dword ptr fs:[0x30]
75074E86    0FB640 02       movzx eax,byte ptr ds:[eax+0x2]
75074E8A    C3              retn

提示:
Windows 7中,IsDebuggerPresent()API是在Kernelbase.dll中实现的。而在Windows XP 及以前版本的操作系统中,它是在kernel32.dll中。

先获取FS:[30]地址,即PEB地址,然后通过[PEB+2]访问BeingDebugged
在这里插入图片描述
这里取出来的是0的原因呢,是因为吾爱破解OD太强悍了,加了很多插件。。。
在这里插入图片描述
慢慢关闭就行,用原版OD或者IDA就能返回1。

破解之法:

用吾爱破解的OD(滑稽。。哈哈),用OD 的编辑功能把BeingDebugged改为0即可。

Ldr(0xc)

调试进程时,其堆内存区域中就会出现一些特殊标识,表示它正处于被调试状态。其中未使用的堆内存区域全部填充着0xEEFEEEFE,这证明正在调试进程。利用这点可判断进程正在被调试。

PEB.Ldr成员是一个指向_ PEB_ LDR DATA结构体的指针,而 PEB_ LDR _DATA结构体恰好是在堆里面创建的,所以扫描该区域即了轻松查找是否存在0xEEFEEEFE区域
在这里插入图片描述
PEB起始地址为0x3D2000,然后指针指向的区域是0x7710DCA0

在这里插入图片描述
在这里插入图片描述
我看了一下,我的没有。。。有的堆内存中,如果往下拖动滑动条,会看到填充着0xEEFEEEFE的区域。。

破解之法:

只要将填充着0xEEFEEEFE值的区域全部覆写为NULL即可

提示:
该方法仅仅适用于Windows XP系统,而在Windows Vista 以后的系统中则无法使用。另外,利用附加功能的将运行中的进程附加调试器时,堆内存中并不出现上述标识

ProcessHeap(+0x18)

PEB.ProcessHeap(+0x18)成员是指向HEAP结构体的指针

+0x000 Entry						:_HEAP_ENTRY
+0x008 Signature					:Unit4B
+0x00c
最低0.47元/天 解锁文章
寻梦环游记125
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
调试技术(一)--静态调试
weixin_34409357的博客
03-13 451
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
逆向学习笔记(3)——静态调试技术
谈成(C/C++)
04-12 401
1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1)BeingDebugged(+0x002) 当进程处于调试状态时,该标识为1,之为0。 对应的API是IsDebuggerPresent(),用于获取当前进程的调试状态
调试手段 源码加注释
05-05
下面我们将详细探讨一些常见的调试技术: 1. **检查调试器存在**:这是最基础的调试手段,程序会检查自身是否正在被调试。例如,通过读取PE头中的`IMAGE_DEBUG_DIRECTORY`结构来查找调试信息,或者检查`PEB...
Android中的调试代码
05-29
在Android应用开发中,调试技术是保护应用安全的重要手段之一。它主要用于防止恶意的逆向工程分析,保护代码不被篡改或盗用。本文将深入探讨Android应用中的调试策略及其实施方法。 首先,我们需要理解调试的...
各种调试技术原理与实例 VC版
10-05
汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-vc.html 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程...
易语言源码易语言调试模块源码.rar
02-18
在软件开发和保护中,调试技术是非常重要的一环,它的主要目的是防止恶意用户通过调试工具分析和篡改程序的行为。 调试模块通常包含以下几方面的知识点: 1. **调试器检测**:调试技术首先涉及到的是如何...
PEB隐藏模块
09-03
PEB隐藏模块PEB
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
一个用来隐藏进程、通过修改PEB隐藏进程模块、通过修改VAD树隐藏进程模块的示例驱动,注释良好,适合初学者。
Process Environment Block(PEB)
寻梦&之璐
01-25 5283
简介 PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
常见静态调试技术总结
lonmar的博客
06-24 1068
静态调试技术 PEB:BeingDebugged/Ldr /ProcessHeap /NtGlobalFlag NtQueryInformationProcess:ProcessDebugPort/ProcessDebugObjectHandle/ProcessDebugFlags TLS ETC
静态调试与动态调试
AkeyMaker的博客
11-15 2265
静态调试特点:在调试开始阻拦调试静态调试特点:调试过程中阻拦调试者,在调试中频繁触发
调试技术总结: 静态
fa1c4的blog
03-24 551
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试器检测法, 调试环境检测, 强制隔离调试器等. 破解方
常用的静态调试技术及其规避方法
weixin_30460489的博客
03-18 289
静态调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段   已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则不是   当进程被附加时,系统会将该值置为1 IsDebuggerPresent() ...
调试调试
最新发布
cyynid的博客
05-05 1103
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
调试技术揭秘(转)
weixin_33935505的博客
03-04 517
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
调试技术详解:检测与规避策略
"这篇资源是关于调试技术的总结,主要介绍了恶意代码如何使用调试手段来避免被调试器分析,以及如何检测Windows调试器。文章涵盖了多种调试技术,包括利用Windows API函数如IsDebuggerPresent、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值