双进程保护及实现

最新推荐文章于 2024-09-16 11:35:32 发布
最新推荐文章于 2024-09-16 11:35:32 发布
阅读量2.8k 收藏 2
点赞数 1
分类专栏: 逆向分析 文章标签: 加密 调试 双进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nightsay/article/details/44592631
版权
本文探讨了双进程保护在防止动态调试中的应用,详细解释了《加密与解密》中提到的步骤,包括创建调试进程、处理调试事件。通过CreateProcess函数与调试循环,分析了如何利用DEBUG_PROCESS和DEBUG_ONLY_THIS_PROCESS标志实现保护。文中提到了关键函数如WaitForDebugEvent和ContinueDebugEvent在调试过程中的作用,以及如何通过异常处理控制程序分支,增加了逆向工程的复杂性。建议通过实际调试来理解双进程保护的工作原理。
摘要由CSDN通过智能技术生成

考前2个星期都一直在搞这个,然后考试周考的死去活来,全部忘光了。最近瞅了一下,发现远远没我想象的那么简单,双进程保护如果用的好的话,SMC+调试进程与被调试进程处理不同异常,的确能在很大程度上限制动态调试。 《加密与解密》上写的很简单,只是大体讲了一下思路,差不多步骤如下
1.加载或者附加一个正在运行的进程(可以用createprocess创建或者用debugactiveprocess附加)
2.获取被调试程序的信息(waitfordebugevent等待调试事件发生)
3.接受被调试进程发来的调试事件并处理然后我们在程序的开始,就可以做一些手脚,然后让调试进程,和被调试进程处理不同的事件,然后程序会沿着不同的逻辑进行,逆向起来就很头疼了。
下面我贴上以为看雪大牛之前发过的源码,然后自行填上了注释。

#define _WIN32_WINNT 0x0500
#include "windows.h"
int DebugMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow);
void DecryptCode(HANDLE hProcess,DWORD begin,DWORD end);
int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)
{
        if(IsDebuggerPresent())   //区分调试进程与被调试进程,以执行不同代码,被调试的进程则调用DeBugMain
        {
                return DebugMain(hInstance,hPrevInstance,lpCmdLine,nCmdShow);
        }

        __try
        {
                __asm int 3        //断点异常想让调试进程处理
        }
        __except(1)
        {
                __asm pop eax; //如果调试器不处理断点异常,这里会被执行
                __asm pop esp;//这两句汇编是破坏了堆栈
        }


        int div=0;
        __try
        {
                __asm int 3        //断点异常交给被调试进程处理
        }
        __except(1)
        {
                div++;
        }
        div=1/div;                //如果调试进程的异常处理模块未被执行,那么这里产生除0异常而使程序退出


        __asm int
最低0.47元/天 解锁文章
c# 进程守候
03-15
本程序中利用timer组件实现两个进程间的相互守候,当你关闭窗体一马上就会弹出窗体2,当你关闭窗体2,马上又会弹出窗体一,就像杀不死的病毒一样。
进程守护
weixin_30505225的博客
11-20 172
进程守护思路: 就是进程A 打开后,发现进程B没有打开,就主动去打开进程B, 并且实时监控进程B是否被关闭,如果进程B被关闭了,就再去打开进程B 进程B的代码也一样,去守护进程A 核心思路就是事件对象 这里给出伪代码: //1.创建一个进程A的事件对象 HANDLE EventB =CreateEventW(NULL, FALSE, TRUE, L"进程...
深入探究进程保护KO_Process及其关键技术
最新发布
weixin_42551310的博客
09-16 1531
本文还有配套的精品资源,点击获取 简介:"进程保护KO_Process"是一个使用VC++开发的程序,具备开机启动、修改控制台图标及获取进程用户名等多种功能。该程序通过进程保护机制增强了程序的安全性和稳定性,有效防范了病毒和恶意软件的攻击。它涉及到C++语言、Windows API等技术,并具有进程管理、监控及安全策略实施的能力。通过分析这个程序,我们可以了解如何构建一...
Windows编程之进程守护
Birldlee的博客
12-26 5534
Windows编程之进程守护Windows编程之进程守护 需求分析 设计原理 相关函数 设计详细 方法1 方法2 项目测试情况 方法1 方法2 总结 需求分析设计实现进程守护程序,当两个进程同时运行时,关闭其中任意一个,另一个进程会识别出来并马上打开被关闭的进程。设计原理相关函数CreateEvent( ) CreateEvent是一个Windows API函数。它用来创建或打开一个命名的或
进程保护
weixin_33705053的博客
08-12 212
关于这篇文章的题目。思索良久,事实上一些技术术语一直是我的软肋。高大上标题。别人会觉得你言过事实上。低调隐晦的标题,又根本提不起别人打开这篇博文的兴趣。许久之后。就下定决心,那么就起一个朴实无华的名字算了,所以就想到了“进程保护”。但细致想想,事实上这也是一个很大的技术专题,包含众多的技术细节。所以就此声明,事实上这仅仅是一篇利用了一个简单的小技术,在一定程度上达到防止你的程序被结束的技术...
进程防杀——进程守护
08-14
进程A为主进程进程B为守护进程,例如:通过一个事件event,判断进程A是否存在,若存在,无动作,若不存在,则启动进程A; B—>启动临时进程—>启动进程A;临时进程的作用是防止通过进程树把两个进程同时杀死。
VB进程保护源代码.zip
11-26
在VB6.0中实现进程保护,主要是通过创建两个独立的进程来增加程序的安全性,这两个进程通常一个负责主逻辑,另一个则作为守护者,确保主进程的正常运行并提供额外的安全防护。 首先,我们来看"工程1.exe",这是VB...
易语言无hook无驱动非进程保护实现进程保护源码
03-18
易语言无hook无驱动非进程保护实现进程保护源码
VB实现进程保护,防止进程结束自己
09-22
在VB(Visual Basic)编程环境中,实现进程保护是一种常见的技术,主要用于确保程序在运行时不会被意外或恶意地终止。这种技术的核心是利用Windows API(应用程序接口)来监控和控制进程,创建一个守护进程保护...
进程保护
c/c++、x86汇编、Win32汇编、逆向、破解
03-03 1152
 #include #include DWORD WINAPI ThreadProc( LPVOID lpParameter // thread data){ char *pName = (char*)lpParameter; HANDLE hMutex; STARTUPINFO si={sizeof(si)}; PROCESS_INFORMA
进程保护进程互相保护,VB6.0实例源代码.rar
07-09
进程保护进程互相保护,VB6.0实例源代码,好像以前发过一个英文的,原理大同小异,两进程互相保护,你结束这个,那个调用,结束那个,这个调用并运行,下载试试就明白了。这个是中文的,比较一下在写法上有什么不同,希望初学者喜欢。
进程互相保护程序,基于VB完成的源代码.rar
07-09
Vb进程保护示例源程序,程序运行后,生成两个独立进程,结束一个进程 ,会重新启动一个新进程,你会发现进程管理器中始终有两个进程,总是结束不掉,以达到进程保护的功能。不过,在结束进程时先锁定EXE,或者选择结束进程树,两个进程都将被终止,看来,程序还有需要完善的地方。
进程保护软件ProcessGuard
11-07
Process Guard   作为一个来自澳大利亚的软件,它有强大的防卫功能。   未注册版本可以管制程序,任何一个程序的启动都必须经用户同意方可施行,   一些在后台偷偷运行的病毒程序,都会被PG拦截并询问用户。   除此之外还可以设定程序的权力,比如 保护程序免被/授权程序可以 终止、修改、读取其他进程。   注册版本有更强大的功能,主要有:   一、保护物理内存;  二、拦截全局钩子;  三、拦截 Rootkit/驱动/服务 安装;  四、拦截注册表DLL注入。   官方网站:   http://www.diamondcs.com.au/processguard/   DiamondCS ProcessGuard是一款系统安全程序,它能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。ProcessGuard还能够停止未被用户许可的程序运行,停止在后台静静运行的恶意蠕虫和trojans,也包括许多其它攻击,ProcessGuard甚至可以停止击键记录程序和leaktest。
写一篇关于进程保护的心得
06-02
程序一开始,先判断是否为调试状态,由于刚启动默认为非调试状态,那这样就作为调试进程运行,作为调试进程运行后,会用自身程序文件再创建一个被调试进程。被调试进程判断出自己处于调试状态,就会沿着不同于调试进程的软件逻辑运行。被调试进程是我们主要运行的进程,而调试进程是用来保护调试进程
进程保护(一)
weixin_30666401的博客
05-14 499
进程保护有很多方法。我所知道的有HOOK API,进程保护,还有DLL远程注入。HOOK API现在在WIN7 64位似乎已经用不了了,听说是要签名吧。 今天先说进程保护进程保护的思路很简单,A,B两个进程。A时时刻刻检测B进程有没有运行,如果没有运行就打开B,运行咋不做处理。 同样的,B也是做这件事。 关键的代码不多。 打开应用程序 ShellExecute(...
Android 进程守护
reggie1996的博客
08-17 2237
前言   最近有在项目中用到高德的定位SDK,功能是每隔一定的时间获取一次用户的地理位置,采取的方案是在后台开启一个 Service,监听高德地图的位置变化。   该功能在用户手机屏幕亮时完美实现,但是当屏幕被关闭的时候,位置信息却无法被获取了,经过原因的排查,发现是由于在用户手机息屏后,后台的 Service 被系统清除,所以功能无法起作用,也就是所谓的进程被杀了。   杀进程,一...
C++实现进程守护
weixin_33875564的博客
05-13 1565
#include"pch.h" #include<iostream> #include<Windows.h> //线程同步:消息、事件、临界区(不是内核对象)、互斥体 //创建互斥体对象,守护程序利用OpenMutex()函数检测对方的互斥体对象是否存在,不存在则创建进程 //线程回调函数 //参数:程序名称 DWORDWINAPIThr...
进程保护策略:调试器与被调试进程的巧妙运用
文章的核心思想是通过以下步骤实现进程保护: 1. **判断调试状态**: 程序启动时,首先检查当前是否为调试状态。因为新启动时默认不是调试状态,所以这个进程就作为调试进程运行。这样做的目的是让程序在不受...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值