反调试技术总结

最新推荐文章于 2023-05-05 11:23:32 发布
最新推荐文章于 2023-05-05 11:23:32 发布
阅读量1k 收藏 3
点赞数
分类专栏: windows平台 文章标签: win32 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoderAldrich/article/details/53490580
版权

所涉及到的反调试方法代码在这里

反调试不外乎从进程检测、调试器检测、断点检测、制造异常等几方面入手,具体有以下方法:

1. API检测,直接调用IsDebuggerPresent、CheckRemoteDebuggerPresent

2. 调试端口debugport检测

3. 检测父进程,包括Process32NextW和ZwQueryInformationProcess

4. 执行产生内存页异常

5. 堆尾检测

6. int 3异常

7. PEB调试标志位检测

8. PEB ForceFlags检测

9. PEB HeapFlags检测

10. PEB NtGlobalFlags检测

11. 利用标志寄存器产生单步异常

12. SeDebugPrivilege检查权限

13. 利用NtSetInformationThread,调试时有断点的话会崩溃

14. 检查程序内存校验和

15. 时间检测

CoderAldrich
关注
专栏目录
常见动态调试技术总结
lonmar的博客
06-27 2701
软件安全|调试技术|动态调试技术总结
常见静态调试技术总结
lonmar的博客
06-24 1362
静态调试技术 PEB:BeingDebugged/Ldr /ProcessHeap /NtGlobalFlag NtQueryInformationProcess:ProcessDebugPort/ProcessDebugObjectHandle/ProcessDebugFlags TLS ETC
调试技术总结(看雪)
eli的博客
12-07 3010
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试技术总结: 静态
fa1c4的blog
03-24 582
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试器检测法, 调试环境检测, 强制隔离调试器等. 破解方
高级调试技术总结
fa1c4的blog
03-25 488
高级调试 真正用于实际的软件保护的调试技术, 对于破解有着高难度的挑战. 现在总结一下高级调试技术. 对于应用了大量垃圾代码, 条件分支语句, 循环语句, 加密/解密代码, 以及调用书(Call-tree), 要逆向这样的程序都是一种肉体和精神的双重受苦之旅, 再加上动态调试的干扰, 甚至可以直接将军想要破解这个软件的逆向分析者. 对于经验丰富的玩家来说, 要完美分析一个保护器也是极其艰巨的挑战. (水了一些废话 所以来看看这些让人受苦的天灾级武器(bushi 垃圾代码 基本思想很朴素, 就是向代码
调试调试
最新发布
cyynid的博客
05-05 1153
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
Windows下调试技术汇总
weixin_34352449的博客
05-06 868
2019独角兽企业重金招聘Python工程师标准>>> ...
动态调试技术
寻梦&之璐
01-27 2311
异常 SEH Windows操作系统中的一些典型异常 EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) EXCEPTION_SINGLE_STEP (0x80000004) EXCEPTION_ACCESS_VIOLATION (0xC0000005) EXCEPTION_IN_PACE_ERROR (0xC0000006) EXCEPTIO
调试技术
11-04
调试技术总结 调试技术是恶意代码用来识别是否被调试,或者让调试器失效的一种技术。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间...
调试技术总结-概览图
08-24
总结常见的大部分调试技术,不包括高级技术,大牛请绕道
基于硬件虚拟化的调试技术
04-05
### 基于硬件虚拟化的调试技术 #### 概述 随着计算机技术的发展与进步,软件保护成为了软件行业中的一项关键技术。特别是在面对日益增长的安全威胁时,如何有效地防止恶意调试和逆向工程变得尤为重要。传统的...
AppHangB1引起的explorer进程停止与Windows交互解决方法
热门推荐
CoderAldrich的专栏
08-25 18万+
今日遇到一个系统故障,现象是打开我的电脑不能最大化,点击最大化窗口或者双击窗口都会引起explorer崩溃,如下图: 百度出来的结果乱七八糟,不是让用某系统急救箱就是建议重装系统的。 通过以下方法解决了问题: 第一步:首先确认导致问题的原因是不是缺少系统文件,使用系统文件检查工具(SFC.exe)扫描系统文件(这个东西挺有用)。 1. 以管理员身份打开cmd窗口,如果弹出一个窗口要
UltraEdit 使用 方法 更新 科学使用
CoderAldrich的专栏
03-28 7万+
最简单的方法,把这个dll下载下来,替换UE安装目录的这个dll即可正常使用 https://download.csdn.net/download/coderaldrich/10622529 ******************************************************************************************************...
利用GetProcessMemoryInfo 获取进程内存使用
CoderAldrich的专栏
02-28 6289
GetProcessMemoryInfo functionRetrieves information about the memory usage of the specified process.SyntaxC++BOOL WINAPI GetProcessMemoryInfo( _In_  HANDLE                   Process, _Out_ PPROCESS...
IAT HOOK、EAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5796
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值