简单介绍 反调试

最新推荐文章于 2024-10-14 16:02:43 发布
最新推荐文章于 2024-10-14 16:02:43 发布
阅读量593 收藏 1
点赞数 2
分类专栏: Windows 文章标签: window 调试器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/115430936
版权

DebugPort

检测EPROCESS中的DebugProt,如果不在调试的时候就是NULL,否则为一个指针,该对象负责在调试器与被调试进程之间进行调试时间的传输
在这里插入图片描述

KdDisableDebugger

禁用内核调试
KdenableDebugger 启用内核调试

IsDebuggerPresent/CheckRemoteDebuggerPresent

在这里插入图片描述

从PEB(进程环境块)偏移0x002处获得BeingDebugged,从而判断是否处于调试阶段

Hook

HOOK一些与调试相关的函数
NtOpenThread:防止调试器在程序内部创建线程
NtOpenProcess:防止OD等调试工具在进程列表中看到
KIAttachProcess:防止被附加上
NtReadVirtualMemory:防止被读内存
NtWriteVirtualMemory:防止内存被写
KdReceivePacket:KDCOM.dll中Com串口接收数据函数
KdSendPacket:KDCOM.dll中Com串口发送数据函数,Hook这两个函数来防止双机调试

花指令

花指令是程序中无用指令,故意干扰各种反汇编静态分析工具,但程序不受任何影响。加花指令后,IDA Pro等分析工具对程序静态反汇编是,会出现错误或者遭到破坏,加大逆向静分析的难度。

花指令 1
push edx
pop edx
inc ecx
dec ecx
add esp,1
sub esp,1
花指令 2
jmp Label1
db opcode
Label1;
花指令 3
jz Label
jnz Label
db opcode
Label

OOLVM

指令替代

当有几个等效的指令序列可用时,将随机选择一个,用更复杂的算法对原代码进行替换。比如:a = a ^ b 替换为 a = (~a & b) | (a & ~b),a = b + c 替换为 r = rand (); a = b - r; a = a + b; a = a + r
当前,只有整数运算符可用,因为用浮点值替代运算符会带来舍入误差和不必要的数值误差。

伪控制流

该方法通过在当前真实块之前添加一个分发器来修改函数调用图。这个新的分发器包含一个不透明值,然后有条件地跳转到真实块。真实块也将被克隆并填充以随机选择的垃圾指令。

控制流平坦化

完全弄平程序的控制流程图。

#include <stdlib.h>
int main(int argc, char** argv) {
  int a = atoi(argv[1]);
  if(a == 0)
    return 1;
  else
    return 10;
  return 0;
}

源代码

#include <stdlib.h>
int main(int argc, char** argv) {
  int a = atoi(argv[1]);
  int b = 0;
  while(1) {
    switch(b) {
      case 0:
        if(a == 0)
          b = 1;
        else
          b = 2;
        break;
      case 1:
        return 1;
      case 2:
        return 10;
      default:
        break;
    }
  }
  return 0;
}

展开后,能很明显的看出代码的目的。

句柄表

可以在句柄表中去搜寻自己的句柄,来查看是否使用了调试器来调试

调试技术
bj5716的博客
04-21 979
前言调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
调试技巧总结-原理和实现
瞎几把学
01-18 3567
 标 题: 【原创】调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40链 接: http://bbs.pediy.com/showthread.php?t=70470调试技巧总结-原理和实现-------------------------------------------------------
调试合集
最新发布
2301_79688571的博客
10-14 719
调试是一种用于阻碍程序动态调试的技术,首先大致说明一下调试的工作原理。在操作系统内部提供了一些API,用于调试器调试。当调试器调用这些API时系统就会在被调试的进程内存中留下与调试器相关的信息。一部分信息是可以被抹除的,也有一部分信息是难以抹除的。当调试器附加到目标程序后,用户的很多行为将优先被调试器捕捉和处理。其中大部分是通过异常捕获通信的,包括断点的本质就是异常。如果调试器遇到不想处理的信息,一种方式是忽略,另一种方式是交给操作系统处理。检测内存中是否有调试器的信息。
调试技术揭秘(转)
weixin_33935505的博客
03-04 552
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
易语言简单跟踪、爆破、调试源码
06-02
主要包含检测OD,检测调试,检测时间等调试爆破等,当然可以根据自己的需要进行参考修改,这个程序源码是初级破解的,当然你一定要结合一定自己的经验进行融合使用。源码级别:。入门级别。(提供方法与思路...
.NET下的终极调试
12-23
这种方法不同于传统的调试手段,它不是简单地检测调试器的存在与否,而是通过修改CLR内部的某些关键数据结构来直接干扰调试过程,使得调试器无法继续跟踪或分析目标程序的行为。 #### 技术实现原理 在介绍具体的...
记录一种简单调试手段(调试随手笔记)1
08-03
本篇笔记将介绍一种简单调试手段,通过自校验来检测代码是否被设置了软件断点。 【描述】: 该调试方法主要依赖于一个特定的代码段,其目的是检测程序运行过程中是否有异常的中断(如软件断点)发生。软件...
易语言-易语言简单跟踪、爆破、调试
06-25
主要包含检测OD,检测调试,检测时间等调试爆破等,当然可以根据自己的需要进行参考修改,这个程序源码是初级破解的,当然你一定要结合一定自己的经验进行融合使用。 源码级别: 入门级别。(提供方法与思路...
易语言简单跟踪、爆破、调试-易语言
06-12
主要包含检测OD,检测调试,检测时间等调试爆破等,当然可以根据自己的需要进行参考修改,这个程序源码是初级破解的,当然你一定要结合一定自己的经验进行融合使用。 源码级别: 入门级别。(提供方法与思路...
调试技术源码与实例汇编版
10-05
汇总归纳了各种调试技术,提供各种调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-asm.html 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
汇编级别调试(1)
青月的成长记录吖
03-24 247
对于一些调试器可能会崩溃,当EIP用作异常处理地址之后,INT 2D指令后的代码将会被跳过,可能跳入到一些非法指令处。在异常处理程序中,我们设置一个寄存器,该寄存器充当指令计数器(在本例中为EAX)和指令指针EIP的角色,以将控制权传递给序列中的下一条指令。在没有调试器的情况下,在到达INT3指令后,将生成异常EXCEPTION_BREAKPOINT (0x80000003),并将调用异常处理程序。在下面的例子中,如果在od调试器,当步入到 0xF3 时,我们会直接跳到 try 的末尾。
【汇编】调试之Fake F8
qq_52572621的博客
09-04 720
功能键F7和F8在DTDEBUG工具中,都是用来执行指令的,那他们有什么区别呢?下面将为大家讲解在调试阶段F7和F8的区别,以及如何做到简单调试
《逆向工程核心原理》学习笔记(七):调试技术
闵行小鱼塘
05-28 2619
继续学习《逆向工程核心原理》,本篇笔记是第七部分:调试技术,包括一些静态调试技术和动态调试技术
过TesSafeWinDbg双机调试
ccx_john的专栏
01-09 1536
标 题: 【原创】过TesSafeWinDbg双机调试 作 者: 易始 时 间: 2013-04-24,12:54:49 链 接: http://bbs.pediy.com/showthread.php?t=170342 貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe双机调试的帖子,但是现在已经过时
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值