静态反调试技术(3)

最新推荐文章于 2022-05-19 14:38:38 发布
最新推荐文章于 2022-05-19 14:38:38 发布
阅读量2.7k 收藏 3
点赞数 5
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSNN2019/article/details/113178232
版权

文章目录

ZwSetInformationThread

强制分离(Detach)被调试者和调试器的技术。利用ZwSetInformationThread()API,被调试者可将自身从调试器中分离出来

	typedef enum _THREAD_INFORMATION_CLASS {
        ThreadBasicInformation,
        ThreadTimes,
        ThreadPriority,
        ThreadBasePriority,
        ThreadAffinityMask,
        ThreadImpersonationToken,
        ThreadDescriptorTableEntry,
        ThreadEnableAlignmentFaultFixup,
        ThreadEventPair,
        ThreadQuerySetWin32StartAddress,
        ThreadZeroTlsCell,
        ThreadPerformanceCount,
        ThreadAmILastThread,
        ThreadIdealProcessor,
        ThreadPriorityBoost,
        ThreadSetTlsArrayAddress,
        ThreadIsIoPending,
       ThreadHideFromDebugger           // 17 (0x11)
    } THREAD_INFORMATION_CLASS, *PTHREAD_INFORMATION_CLASS;
 

	typedef NTSTATUS (WINAPI* ZWSETINFORMATIONTHREAD)(
        HANDLE ThreadHandle,
        THREAD_INFORMATION_CLASS ThreadInformationClass,
        PVOID ThreadInformation,
        ULONG ThreadInformationLength
    );

ZwSetInformationThread()函数是一个系统原生API(System Native API),它是用来为线程设置信息的。该函数有2个参数,第一个参数ThreadHandle用来接收当前线程的句柄,第二个参数ThreadInformationClass表示线程信息类型,若其值设置为ThreadHideFromDebugger(0x11),调用该函数后,调试进程就会被分离出来。ZwSetInformationThread() API不会对正常的程序(非调试运行)产生任何影响,但若运行的是调试程序,调用该API将使调试器终止运行,同时终止自身进程。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

破解方法

简单的破解思路就是:调用0x00DA1823 地址处的ntdll.ZwSetInformationThreadAPI前,查找存储在栈中的第二个参数ThreadInformationClass值,若值为ThreadHideFromDebugger(0x11),则修改为0后继续运行即可
在这里插入图片描述
当然也可以勾取ZwSetInformationThread()API,并以同样的方式操作函数的参数。

提示:
利用ZwSetInformationThread()进行反调试的工作原理是:将线程隐藏起来,调试器就接受不到信息,从而无法调试。另外,Windows XP 以后新增了 DebugActiveProcessStop()API

BOOL WINAPI DebugActiveProcessStop( 
__in DWORD dwProcessId 
);

DebugActiveProcessStop()API用来分离调试器和被调试进程从而停止调试。而前面介绍的ZwSetInformationThread()API则是用来隐藏当前线程,使调试器无法再接收到该线程的调试事件,最终停止调试。

调试程序代码

#include "stdio.h"
#include "windows.h"
#include "tchar.h"
 
void DetachDebugger()
{
    //强制分离被调试者和调试器的技术。调试器与被调试进程同时终止
    typedef enum _THREAD_INFORMATION_CLASS {
        ThreadBasicInformation,
        ThreadTimes,
        ThreadPriority,
        ThreadBasePriority,
        ThreadAffinityMask,
        ThreadImpersonationToken,
        ThreadDescriptorTableEntry,
        ThreadEnableAlignmentFaultFixup,
        ThreadEventPair,
        ThreadQuerySetWin32StartAddress,
        ThreadZeroTlsCell,
        ThreadPerformanceCount,
        ThreadAmILastThread,
        ThreadIdealProcessor,
        ThreadPriorityBoost,
        ThreadSetTlsArrayAddress,
        ThreadIsIoPending,
       <span style="color:#ff0000;"> ThreadHideFromDebugger           // 17 (0x11)</span>
    } THREAD_INFORMATION_CLASS, *PTHREAD_INFORMATION_CLASS;
 
    typedef NTSTATUS (WINAPI* ZWSETINFORMATIONTHREAD)(
        HANDLE ThreadHandle,
        THREAD_INFORMATION_CLASS ThreadInformationClass,
        PVOID ThreadInformation,
        ULONG ThreadInformationLength
    );
 
    ZWSETINFORMATIONTHREAD pZwSetInformationThread = NULL;
    pZwSetInformationThread = (ZWSETINFORMATIONTHREAD)
                              GetProcAddress(GetModuleHandle(L"ntdll.dll"), 
                                             "ZwSetInformationThread");
 
    pZwSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0);
 
    printf("ZwSetInformationThread() -> Debugger detached!!!\n\n");
}
 
int _tmain(int argc, TCHAR* argv[])
{
    DetachDebugger();
 
    printf("\npress any key to quit...\n");
    _gettch();
 
    return 0;
}

利用TLS回调函数(详情通过以下链接查看)

https://blog.csdn.net/CSNN2019/article/details/113094488

ETC

判断当前系统是否为逆向分析系统(非常规系统),若是,则直接停止程序。这些技术都能从系统中轻松获取各种信息(进程,文件,窗口,注册表,主机名,计算机名,用户名,环境变量等)。这些都可以借助Win32API获取系统信息来实现,举几个例子:

  1. 检测OllyDbg窗口----->FindWindow()
  2. 检测OllyDbg进程------>CreatToolhelp32Snapshot()
  3. 检查计算机名称是否为“TEST”,“ANALYSIS”等------->GetComputerName()
  4. 检查程序运行路径是否存在“TEST”,“SAMPLE”等名称------->GetCommandLine()
  5. 检测虚拟机是否处于运行状态(查看虚拟机特有的进程名称---->VMWareService.exe,VMWareTray.exe,VMWareUser.exe等)

破解之法

在这里插入图片描述
要想让FindWindow()失效,只需要在调用FindWindow()把栈中0xC7F668这个名称字符串用NULL来覆盖即可,那么FindWindow()API将无法探测到相应的调试器
修改后:
在这里插入图片描述
接下来要让GetWindowText() API失效,调用GetWindowText() API的代码在0xDA192D处。若想正常调用GetWindowText(),就不能执行0xDA1912地址处的条件跳转指令。要实现这点,可以直接操作条件跳转语句,也可以将其上GetDesktopWindow()GetWindow()API的返回值修改为NULL
在这里插入图片描述

在这里插入图片描述
总之呢,见招拆招,加油

调试程序代码

#include "stdio.h"
#include "windows.h"
#include "tchar.h"
 
void FindDebuggerWindow()
{
    BOOL bDebugging = FALSE;
 
    // using ClassName
    if( FindWindow(L"OllyDbg", NULL) ||                  // OllyDbg
        FindWindow(L"TIdaWindow", NULL) ||               // IDA Pro
        FindWindow(L"WinDbgFrameClass", NULL) )          // Windbg
        bDebugging = TRUE;
 
    printf("FindWindow()\n");
    if( bDebugging )    printf("  => Found a debugger window!!!\n\n");
    else                printf("  => Not found a debugger window...\n\n");
 
    // using WindowName
    bDebugging = FALSE;
    TCHAR szWindow[MAX_PATH] = {0,};
 
    HWND hWnd = GetDesktopWindow();
    hWnd = GetWindow(hWnd, GW_CHILD);
    hWnd = GetWindow(hWnd, GW_HWNDFIRST);
    while( hWnd )
    {
        if( GetWindowText(hWnd, szWindow, MAX_PATH) )
        {
            if( _tcsstr(szWindow, L"IDA") ||
                _tcsstr(szWindow, L"OllyDbg") ||
                _tcsstr(szWindow, L"WinDbg") )
            {
                bDebugging = TRUE;
                break;
            }
        }
 
        hWnd = GetWindow(hWnd, GW_HWNDNEXT);
    }
 
    printf("GetWindowText()\n");
    if( bDebugging )    printf("  => Found a debugger window!!!\n\n");
    else                printf("  => Not found a debugger window...\n\n");
}
 
int _tmain(int argc, TCHAR* argv[])
{
    FindDebuggerWindow();
 
    printf("\npress any key to quit...\n");
    _gettch();
 
    return 0;
}

篇章大总结:

1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例)
+0x002 BeingDebugged : UChar
+0x00c Ldr : _PEB_LDR_DATA
+0x018 ProcessHeap : Ptr32 Void
+0x068 NtGlobalFlag : Uint4B

BeingDebugged成员在被调试状态会显示1,正常情况下为0。解决方法:更改该值为0。
Ldr:进程在被调试状态时堆内存区域会出现一些特殊的标志,未使用的堆内存区域全部填充着0xFEEEFEEE,而Ldr正好在堆内存中被创建(只在XP系统中有,Vista之后的系统没有这种标志)。解决方法:将该区域覆盖为NULL即可。
ProcessHeap:ProcessHeap.Flags(+0x00c)在正常情况下值为0x2,ProcessHeap.ForceFlags成员(+0x10)的值为0x0,当调试时,该值会改变。(只在XP中有效)。解决办法:只需将值改回去即可。
NtGlobalFalg:PEB.NtGlobalFlag会在调试情况下显示0x70,该值是以下Flags值or运算的结果:(附加到进程无效,只有启动调试有效)
FLG_HEAP_ENABLE_TAIL_CHECK (0x10)
FLG_HEAP_ENABLE_FREE_CHECK (0x20)
FLG_HEAP_VALIDATE_PARAMETERS (0x40)
解决方法:重置0即可
2.NtQueryInformationProcess()可以查询ProcessDebugPort(0x7),ProcessDebugObjectHandle(0x1E)ProcessDebugFlags(0x1F)
当进程处于调试状态时,系统会给它分配一个调试端口(Debug Port),正常状态dwDebugPort为,调试状态为0xFFFFFFFF
当进程处于调试状态时,ProcessDebugObjectHandle一个句柄值,正常状态为NULL
当进程处于调试状态时,ProcessDebugFlags为0,正常为1
3.NtQueryObject()函数可以枚举系统所有对象,通过观察系统是否有调试对象句柄,就可以知道是否有进程在被调试。(wcscmp(L"DebugObject",pObjectTypeInfo->TypeName.Buffer)==0),解决方法,改变该函数参数
4.ZwSetInformationThread()该函数顾名思义是给线程设置信息的。该函数有两个参数,第一个参数ThreadHandle为线程句柄,第二参数ThreadInformationClass表示线程信息类型,其值设置为ThreadHideFromDebugger(0x11),调用该函数后,调试进程将会与调试器分离开来,使调试器终止调试,同时终止自身进程。该函数对正常运行程序没有影响。
6.TLS(线程局部存储)TLS函数代码会先于main()函数执行,于是我们可以在这里进行对程序是否被调试的判断,例如判断是否被下了int3断点,PEB中的BeingDebugged是否为1等。
7.ETC利用API获得进程窗口,进程,计算机名称,虚拟机是否在运行状态等判断运行环境是否安全。

反调试技术系列:

静态反调试技术(1)https://blog.csdn.net/CSNN2019/article/details/113105292
静态反调试技术(2)https://blog.csdn.net/CSNN2019/article/details/113147820
静态反调试技术(3)https://blog.csdn.net/CSNN2019/article/details/113178232
动态反调试技术 https://blog.csdn.net/CSNN2019/article/details/113181558
高级反调试技术 https://blog.csdn.net/CSNN2019/article/details/113263215

寻梦&之璐
关注
专栏目录
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
调试技术(一)--静态调试
weixin_30871293的博客
03-13 243
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
ZwSetInformationThread调试
lwhaaaa的博客
04-26 1676
文章目录0x01 ZwSetInformationThread () 介绍 0x01 ZwSetInformationThread () 介绍 ​ ZwSetInformationThread 等同于 NtSetInformationThread,通过为线程设置 ThreadHideFromDebugger,可以禁止线程产生调试事件。函数原型如下: VOID DisableDebugEvent(VOID) { HINSTANCE hModule; ZW_SET_INFORMATION_TH
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4762
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
C++ 调试ZwSetInformationThread
LYSM
09-18 2750
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
调试手段 源码加注释
05-05
下面我们将详细探讨一些常见的调试技术: 1. **检查调试器存在**:这是最基础的调试手段,程序会检查自身是否正在被调试。例如,通过读取PE头中的`IMAGE_DEBUG_DIRECTORY`结构来查找调试信息,或者检查`PEB...
各种调试技术原理与实例 VC版
10-05
汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-vc.html 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程...
Android中的调试代码
05-29
在Android应用开发中,调试技术是保护应用安全的重要手段之一。它主要用于防止恶意的逆向工程分析,保护代码不被篡改或盗用。本文将深入探讨Android应用中的调试策略及其实施方法。 首先,我们需要理解调试的...
易语言源码易语言调试模块源码.rar
02-18
在软件开发和保护中,调试技术是非常重要的一环,它的主要目的是防止恶意用户通过调试工具分析和篡改程序的行为。 调试模块通常包含以下几方面的知识点: 1. **调试器检测**:调试技术首先涉及到的是如何...
SteamLoader-绕过Steam ThreadHideFromDebugger-C/C++开发
05-27
一个简单的绕过Steam的ThreadHideFromDebugger调试技术的方法。 SteamLoader-绕过Steam ThreadHideFromDebugger一种简单的绕过Steam的ThreadHideFromDebugger调试技术的方法,该技术不允许在遇到断点时将执行流转移到调试器。 这种技术存在于(旧的?)Steam游戏中,例如Orcs Must Die 2,FEAR 3,DeusEx,Brinck,Fall out系列,Duke Nukem。 一旦达到断点,游戏就会退出。 我在Guided Hacking论坛上对此做了完整的解释。 Visual Studio解决方案包含两个
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
调试技术总结(看雪)
eli的博客
12-07 3021
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
PP保护3:HideFromDebugger
netword12345的专栏
03-04 1232
PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD. 遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回
Windows下调试技术汇总
03-03 1812
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
调试技术
做一个快乐学习者
05-18 1195
#include <windows.h> int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { HMODULE hModule = GetModuleHandleW(L"ntdll.dll"); if (!hM...
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3321
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
IRS应用发布之应用调试
林中静月下仙的博客
05-19 529
Debug调试工具 简介 功能简介 Debug调试工具支持日志查询和前端页面调试: 日志查询:支持查看前端日志、JSBridge API执行日志、网络日志、Cookie、localStorage等日志,同时可以在调试工具中动态执行JS命令,覆盖一般前端日志工具,例如覆盖Eruda的全部功能,请参见查看日志。 前端页面调试:提供在浙里办APP环境内调试前端页面的能力。 之前的模式中,由于Chrome中不含浙里办APP运行环境,开发者需要在Chrome中调试不含JSBridge API
脱壳的艺术--5 调试器攻击技术
FISH 的专栏
01-19 1472
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值