利用INT 2DH 反调试

最新推荐文章于 2020-07-12 23:22:44 发布
最新推荐文章于 2020-07-12 23:22:44 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: win32 文章标签: exception 测试 system byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PKwok/article/details/1908267
版权

         取材于rootkit.com的一篇文章,因为简单就不按照原文严格翻译了。原文链接http://rootkit.com/newsread.php?newsid=669

第2dh 号中断处理函数是KiDebugService ,执行Int 2dh 指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。
; Besides  this int  2Dh can also be used  as  code obfuscation method.
; With attached debugger, after executing  int  2Dh, system skips one  byte
; after  int  2Dh:
;
;        int      2dh
;       nop                     ; never executed
;       ...
;
原文的这一段 说执行完 int 2dh指令后会跳过一字节指令的描述貌似有问题。实际测试了下,还是照常执行的。
OllyDbg 的行为比较特别。被OllyDbg 调试时如果Int 2dh 指令之后的下一条指令长于一字节,那么会引起异常,下一指令自然不执行。如果等于一字节长度那么不会引起异常,下一指令被跳过不执行。
顺便贴下我测试用的例子。
#include  < Windows.h >
#include  < stdio.h >
 
DWORD dwTest = 0 ;
DWORD test()
 {
       printf("正常 Test = %d ",dwTest);
       return EXCEPTION_EXECUTE_HANDLER;
}
void  main()
 {
       __try
       {
              __asm   mov eax,dwTest
              __asm     int 2dh
              __asm   inc eax;被OD 调试时这句被跳过。
              __asm   mov dwTest,eax
              printf("检测到调试器 Test = %d ",dwTest);
       }
       __except(test())
       {
        
       }
       system("pause");
}

 

PKwok
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调试技术
11-04
调试技术总结 调试技术是恶意代码用来识别是否被调试,或者让调试器失效的一种技术。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间...
Chatglm2-6b-int4资源文件
最新发布
10-12
Chatglm2-6b-int4资源文件
Int 2Dh debugger detection and code obfuscation
04-28 931
ReWolf ;---------------------------------------------------------------------------; Int 2Dh debugger detection and code obfuscation - ReWolf^HTB;; Date: 14.III.2007;; ; I. BACKGROUND;; Possibly new
调试 - int 2dh , int 3h
LYSM
07-12 1026
原理 第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。 如果有调试器,调试器就会接管这个 int 2dh 产生的异常从而不走我们设置的异常回调处理函数,当然如果调试器选择不接管这个异常我们是无法检测出调试器的,所以这是一种比较低级的调试手段。 代码 int2d_x64.asm: 首先创建一个.cpp 文件,改下后缀为 .asm 找到这个asm 文件
INT 2DH中断
BetaBin
02-04 1745
立春好时节……Mark一个2dh中断。 ; push offset _seh ; ; push fs:[0] ; > 设置seh ; mov fs:[0], esp ;/ ; ; int 2dh ; 如果被调试则正常运行 ;
Win32下常见调试技术
HexRain的专栏
12-17 4889
1 探索内存差异 跟到的一个IceSword用户层程序中的一个调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
【翻译】Windows 调试参考翻译
lwglucky的专栏
03-24 2138
[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的调试技术.调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的
三轴加速度传感器LIS2DH12应用笔记中文
05-12
1. **超低功耗**:LIS2DH12具备多种低功耗模式,如智能睡眠唤醒和恢复睡眠功能,以优化能源利用。 2. **动态可选满量程**:用户可以根据需求选择不同的测量范围。 3. **中断生成**:支持惯性唤醒/自由落体事件,以及...
PHP调试工具 Kint
09-13
2. **可定制性**:Kint提供了丰富的选项,允许开发者自定义输出格式、颜色、深度限制等,以适应不同项目的调试需求。这使得Kint在保持简洁的同时,也具备了高度的灵活性。 3. **增强型输出**:相比于var_dump()和...
防止delphi被人编译-加壳后发布-delphi软件保护器
10-16
防止delphi被人编译 加壳后发布-delphi软件保护器 辛苦做的delphi软件被人解密了,是多么可惜的事情 有了这个软件,可以防范这些,充分保护你的软件 非常好的一个保护工具
delphi编译工具 IDR.zip
09-02
DELPHI程序的编译,首选是DeDe,它编译的代码,结构清晰,内部函数都标注出来了。但它的缺点就是不支持高版本的DELPHI。对付高版本的DELPHI,就得用IDR了。IDR编译的结果和DeDe其实一样,只是对于一些内部的函数及变量,标识的没有DeDe那样清晰。对于熟悉DELPHI的人或者经验比较丰富的,用IDR可能更快捷。对于初学者,还是从DeDe入手为好。
INT 2D的c++代码
05-06
INT 2D的c++代码
Windows调试技术参考
子曰小玖的博客
01-08 1272
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术。 调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文中,我们假设所有的程序都是在Rin...
内核调试学习笔记
zfdyq
12-17 2229
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
一段简单的调试代码
fisher_jiang的专栏
07-12 1785
Submitted by 李马 on 2008, July 25, 11:06 AM. 技术的角落本文链接:http://www.titilima.cn/show-258-1.html对于检测调试器来说,其实 Win32 API 中有现成的 IsDebuggerPresent 可以使用,不过调试器可以很容易地挂钩这个 API,使得被调试的进程检测调试器失败。这里给出一段简单的代
15.ring3-调试小结
hgy413的专栏
10-13 2734
1.IsDebuggerPresent 检测是否在函数头有普通断点,或是否被挂钩 2.CheckRemoteDebuggerPresent(ProcessDebugPort) 3.NtGlobalFlags,测试发现直接运行工程会提示有调试器,windbg初始附加运行提示有调试器,但windbg中间附加不会提示有调试器,测试失败,但可用. 0:000> dt _PEB -y NtGlobal
Delphi 异常抛出与捕获
倾听内心的声音
08-27 2415
procedure raiseException(); begin raise Exception.Create('抛出异常'); end; procedure catchException(); begin try raiseException(); except ShowMessage('发生异常'); end; end;
76.逆向分析之OllyDbg动态调试工具(二)INT3断点、调试、硬件断点与内存断点_网络_杨秀璋的专栏-CSDN博客1
08-03
逆向分析之OllyDbg动态调试工具(二)INT3断点、调试、硬件断点与内存断点 OllyDbg是一款功能强大且流行的动态调试工具,广泛应用于逆向分析、漏洞挖掘、malware分析等领域。本文将详细介绍OllyDbg动态调试工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值