反调试 - PEB(BeingDebugged ,NtGlobalFlag)

最新推荐文章于 2022-03-03 18:50:34 发布
最新推荐文章于 2022-03-03 18:50:34 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/100702034
版权

姜姜姜姜 ··················· ~!
在这里插入图片描述
如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事)

/*002*/ UCHAR BeingDebugged;
/*068*/ LARGE_INTEGER NtGlobalFlag;

以上两个都来自于 _PEB 结构体:(这里是 32位,64位的下面再说)

typedef struct _PEB { // Size: 0x1D8
/*000*/ UCHAR InheritedAddressSpace;
/*001*/ UCHAR ReadImageFileExecOptions;
/*002*/ UCHAR BeingDebugged;						// 无调试器时 = 0,有调试器时 = 1
/*003*/ UCHAR SpareBool; 
/*004*/ HANDLE Mutant;
/*008*/ HINSTANCE ImageBaseAddress; 
/*00C*/ VOID *DllList;  
/*010*/ PPROCESS_PARAMETERS *ProcessParameters;
/*014*/ ULONG SubSystemData;
/*018*/ HANDLE DefaultHeap;
/*01C*/ KSPIN_LOCK FastPebLock;
/*020*/ ULONG FastPebLockRoutine;
/*024*/ ULONG FastPebUnlockRoutine;
/*028*/ ULONG EnvironmentUpdateCount;
/*02C*/ ULONG KernelCallbackTable;
/*030*/ LARGE_INTEGER SystemReserved;
/*038*/ ULONG FreeList;
/*03C*/ ULONG TlsExpansionCounter;
/*040*/ ULONG TlsBitmap;
/*044*/ LARGE_INTEGER TlsBitmapBits;
/*04C*/ ULONG ReadOnlySharedMemoryBase;
/*050*/ ULONG ReadOnlySharedMemoryHeap;
/*054*/ ULONG ReadOnlyStaticServerData;
/*058*/ ULONG AnsiCodePageData;
/*05C*/ ULONG OemCodePageData;
/*060*/ ULONG UnicodeCaseTableData;
/*064*/ ULONG NumberOfProcessors;
/*068*/ LARGE_INTEGER NtGlobalFlag; 				// 有调试器时会被赋值为 70h = 112
/*070*/ LARGE_INTEGER CriticalSectionTimeout;
/*078*/ ULONG HeapSegmentReserve;
/*07C*/ ULONG HeapSegmentCommit;
/*080*/ ULONG HeapDeCommitTotalFreeThreshold;
/*084*/ ULONG HeapDeCommitFreeBlockThreshold;
/*088*/ ULONG NumberOfHeaps;
/*08C*/ ULONG MaximumNumberOfHeaps;
/*090*/ ULONG ProcessHeaps;
/*094*/ ULONG GdiSharedHandleTable;
/*098*/ ULONG ProcessStarterHelper;
/*09C*/ ULONG GdiDCAttributeList;
/*0A0*/ KSPIN_LOCK LoaderLock;
/*0A4*/ ULONG OSMajorVersion;
/*0A8*/ ULONG OSMinorVersion;
/*0AC*/ USHORT OSBuildNumber;
/*0AE*/ USHORT OSCSDVersion;
/*0B0*/ ULONG OSPlatformId;
/*0B4*/ ULONG ImageSubsystem;
/*0B8*/ ULONG ImageSubsystemMajorVersion;
/*0BC*/ ULONG ImageSubsystemMinorVersion;
/*0C0*/ ULONG ImageProcessAffinityMask;
/*0C4*/ ULONG GdiHandleBuffer[0x22];
/*14C*/ ULONG PostProcessInitRoutine;
/*150*/ ULONG TlsExpansionBitmap;
/*154*/ UCHAR TlsExpansionBitmapBits[0x80];
/*1D4*/ ULONG SessionId;
} PEB, *PPEB;

反调试代码:

#pragma region 依赖 

void* PEB(){
	
	void* Peb = NULL;	// 接收 _PEB 结构体地址

	__asm
	{
		mov eax, fs:[0x30]					; PEB
        mov Peb, eax
	}

	return Peb;
}

bool PEB_BegingDebugged(){
	
	bool BegingDebugged = false;
	
	__asm
	{
		mov eax, fs:[0x30]					; PEB
		mov al, byte ptr ds:[eax + 0x2]		; BegingDebugged 在 _PEB 中的偏移
		mov BegingDebugged, al
	}

	return BegingDebugged;
}

bool PEB_NtGlobalFlag(){
	
	bool NtGlobalFlag = NULL;

	__asm
	{
		mov eax, fs:[0x30]					; PEB
		mov al, byte ptr ds:[eax + 0x68]	; NtGlobalFlag 在 _PEB 中的偏移
		mov NtGlobalFlag, al
	}

	return NtGlobalFlag;
}


#pragma endregion

int _tmain(int argc, _TCHAR* argv[])
{
	// 打印 PEB 起始地址(方便参考)
	std::cout << "PEB() = " << PEB() << std::endl;

	// 检测调试器
	if(PEB_BegingDebugged()){
		MessageBox(NULL,"PEB_BegingDebugged() 发现调试器,程序退出","LYSM",NULL);
		ExitProcess(0);
	}
	if((int)PEB_NtGlobalFlag() == 112){
		MessageBox(NULL,"PEB_NtGlobalFlag() 发现调试器,程序退出","LYSM",NULL);
		ExitProcess(0);
	}
	
	// bypass 成功的标志
	MessageBox(NULL,"程序运行到了这里","LYSM",NULL);

	getchar();
	return 0;
}

大致功能是:

正常运行弹出 “程序运行到这里” 对话框
在这里插入图片描述

被调试时单出 “检测到调试器” 并结束运行
在这里插入图片描述

注意:实验时要用原版 OD 才有效果

下面说一下 x64 下的 _PEB 结构:
(这个是 win7x64 下用 windbg 查看的本地 PEB 结构)

lkd> dt !_PEB
nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar						// BeingDebugged 偏移不变
   +0x003 BitField         : UChar
   +0x003 ImageUsesLargePages : Pos 0, 1 Bit
   +0x003 IsProtectedProcess : Pos 1, 1 Bit
   +0x003 IsLegacyProcess  : Pos 2, 1 Bit
   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
   +0x003 SpareBits        : Pos 5, 3 Bits
   +0x008 Mutant           : Ptr64 Void
   +0x010 ImageBaseAddress : Ptr64 Void
   +0x018 Ldr              : Ptr64 _PEB_LDR_DATA
   +0x020 ProcessParameters : Ptr64 _RTL_USER_PROCESS_PARAMETERS
   +0x028 SubSystemData    : Ptr64 Void
   +0x030 ProcessHeap      : Ptr64 Void
   +0x038 FastPebLock      : Ptr64 _RTL_CRITICAL_SECTION
   +0x040 AtlThunkSListPtr : Ptr64 Void
   +0x048 IFEOKey          : Ptr64 Void
   +0x050 CrossProcessFlags : Uint4B
   +0x050 ProcessInJob     : Pos 0, 1 Bit
   +0x050 ProcessInitializing : Pos 1, 1 Bit
   +0x050 ProcessUsingVEH  : Pos 2, 1 Bit
   +0x050 ProcessUsingVCH  : Pos 3, 1 Bit
   +0x050 ProcessUsingFTH  : Pos 4, 1 Bit
   +0x050 ReservedBits0    : Pos 5, 27 Bits
   +0x058 KernelCallbackTable : Ptr64 Void
   +0x058 UserSharedInfoPtr : Ptr64 Void
   +0x060 SystemReserved   : [1] Uint4B
   +0x064 AtlThunkSListPtr32 : Uint4B
   +0x068 ApiSetMap        : Ptr64 Void
   +0x070 TlsExpansionCounter : Uint4B
   +0x078 TlsBitmap        : Ptr64 Void
   +0x080 TlsBitmapBits    : [2] Uint4B
   +0x088 ReadOnlySharedMemoryBase : Ptr64 Void
   +0x090 HotpatchInformation : Ptr64 Void
   +0x098 ReadOnlyStaticServerData : Ptr64 Ptr64 Void
   +0x0a0 AnsiCodePageData : Ptr64 Void
   +0x0a8 OemCodePageData  : Ptr64 Void
   +0x0b0 UnicodeCaseTableData : Ptr64 Void
   +0x0b8 NumberOfProcessors : Uint4B
   +0x0bc NtGlobalFlag     : Uint4B						// NtGlobalFlag 偏移由 0x68 → 0xbc
   +0x0c0 CriticalSectionTimeout : _LARGE_INTEGER
   +0x0c8 HeapSegmentReserve : Uint8B
   +0x0d0 HeapSegmentCommit : Uint8B
   +0x0d8 HeapDeCommitTotalFreeThreshold : Uint8B
   +0x0e0 HeapDeCommitFreeBlockThreshold : Uint8B
   +0x0e8 NumberOfHeaps    : Uint4B
   +0x0ec MaximumNumberOfHeaps : Uint4B
   +0x0f0 ProcessHeaps     : Ptr64 Ptr64 Void
   +0x0f8 GdiSharedHandleTable : Ptr64 Void
   +0x100 ProcessStarterHelper : Ptr64 Void
   +0x108 GdiDCAttributeList : Uint4B
   +0x110 LoaderLock       : Ptr64 _RTL_CRITICAL_SECTION
   +0x118 OSMajorVersion   : Uint4B
   +0x11c OSMinorVersion   : Uint4B
   +0x120 OSBuildNumber    : Uint2B
   +0x122 OSCSDVersion     : Uint2B
   +0x124 OSPlatformId     : Uint4B
   +0x128 ImageSubsystem   : Uint4B
   +0x12c ImageSubsystemMajorVersion : Uint4B
   +0x130 ImageSubsystemMinorVersion : Uint4B
   +0x138 ActiveProcessAffinityMask : Uint8B
   +0x140 GdiHandleBuffer  : [60] Uint4B
   +0x230 PostProcessInitRoutine : Ptr64 Void  
   +0x238 TlsExpansionBitmap : Ptr64 Void
   +0x240 TlsExpansionBitmapBits : [32] Uint4B
   +0x2c0 SessionId        : Uint4B
   +0x2c8 AppCompatFlags   : _ULARGE_INTEGER
   +0x2d0 AppCompatFlagsUser : _ULARGE_INTEGER
   +0x2d8 pShimData        : Ptr64 Void
   +0x2e0 AppCompatInfo    : Ptr64 Void
   +0x2e8 CSDVersion       : _UNICODE_STRING
   +0x2f8 ActivationContextData : Ptr64 _ACTIVATION_CONTEXT_DATA
   +0x300 ProcessAssemblyStorageMap : Ptr64 _ASSEMBLY_STORAGE_MAP
   +0x308 SystemDefaultActivationContextData : Ptr64 _ACTIVATION_CONTEXT_DATA
   +0x310 SystemAssemblyStorageMap : Ptr64 _ASSEMBLY_STORAGE_MAP
   +0x318 MinimumStackCommit : Uint8B
   +0x320 FlsCallback      : Ptr64 _FLS_CALLBACK_INFO
   +0x328 FlsListHead      : _LIST_ENTRY
   +0x338 FlsBitmap        : Ptr64 Void
   +0x340 FlsBitmapBits    : [4] Uint4B
   +0x350 FlsHighIndex     : Uint4B
   +0x358 WerRegistrationData : Ptr64 Void
   +0x360 WerShipAssertPtr : Ptr64 Void
   +0x368 pContextData     : Ptr64 Void
   +0x370 pImageHeaderHash : Ptr64 Void
   +0x378 TracingFlags     : Uint4B
   +0x378 HeapTracingEnabled : Pos 0, 1 Bit
   +0x378 CritSecTracingEnabled : Pos 1, 1 Bit
   +0x378 SpareTracingBits : Pos 2, 30 Bits

所以直接把偏移改下就行了呗? 咳咳。。。。肯定是不行的,原因是 vs 在 x64 编译后不再对 __asm{} 关键字认可了,如果要继续使用内联汇编,需要进行一些小小的配置:参考这篇文章。

x64.asm 参考代码:

.CODE

GetPeb PROC
    mov rax,gs:[60h]
	ret
GetPeb ENDP

END

我们发现 mov rax,gs:[60h] 这行代码,相比原来的 mov eax, fs:[0x30] 偏移由 0x30 变成了 0x60,原因是 x64 下 _TEB 的结构不同导致的:(至于寄存器的不同这里不再讨论)

lkd> dt !_TEB
nt!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x038 EnvironmentPointer : Ptr64 Void
   +0x040 ClientId         : _CLIENT_ID
   +0x050 ActiveRpcHandle  : Ptr64 Void
   +0x058 ThreadLocalStoragePointer : Ptr64 Void
   +0x060 ProcessEnvironmentBlock : Ptr64 _PEB				// 看这里!!!
   +0x068 LastErrorValue   : Uint4B
   +0x06c CountOfOwnedCriticalSections : Uint4B
   +0x070 CsrClientThread  : Ptr64 Void
   +0x078 Win32ThreadInfo  : Ptr64 Void
   +0x080 User32Reserved   : [26] Uint4B
   +0x0e8 UserReserved     : [5] Uint4B
   +0x100 WOW32Reserved    : Ptr64 Void
   +0x108 CurrentLocale    : Uint4B
   +0x10c FpSoftwareStatusRegister : Uint4B
   +0x110 SystemReserved1  : [54] Ptr64 Void
   +0x2c0 ExceptionCode    : Int4B
   +0x2c8 ActivationContextStackPointer : Ptr64 _ACTIVATION_CONTEXT_STACK
   +0x2d0 SpareBytes       : [24] UChar
   +0x2e8 TxFsContext      : Uint4B
   +0x2f0 GdiTebBatch      : _GDI_TEB_BATCH
   +0x7d8 RealClientId     : _CLIENT_ID
   +0x7e8 GdiCachedProcessHandle : Ptr64 Void
   +0x7f0 GdiClientPID     : Uint4B
   +0x7f4 GdiClientTID     : Uint4B
   +0x7f8 GdiThreadLocalInfo : Ptr64 Void
   +0x800 Win32ClientInfo  : [62] Uint8B
   +0x9f0 glDispatchTable  : [233] Ptr64 Void
   +0x1138 glReserved1      : [29] Uint8B
   +0x1220 glReserved2      : Ptr64 Void
   +0x1228 glSectionInfo    : Ptr64 Void
   +0x1230 glSection        : Ptr64 Void
   +0x1238 glTable          : Ptr64 Void
   +0x1240 glCurrentRC      : Ptr64 Void
   +0x1248 glContext        : Ptr64 Void
   +0x1250 LastStatusValue  : Uint4B
   +0x1258 StaticUnicodeString : _UNICODE_STRING
   +0x1268 StaticUnicodeBuffer : [261] Wchar
   +0x1478 DeallocationStack : Ptr64 Void
   +0x1480 TlsSlots         : [64] Ptr64 Void
   +0x1680 TlsLinks         : _LIST_ENTRY
   +0x1690 Vdm              : Ptr64 Void
   +0x1698 ReservedForNtRpc : Ptr64 Void
   +0x16a0 DbgSsReserved    : [2] Ptr64 Void
   +0x16b0 HardErrorMode    : Uint4B
   +0x16b8 Instrumentation  : [11] Ptr64 Void
   +0x1710 ActivityId       : _GUID
   +0x1720 SubProcessTag    : Ptr64 Void
   +0x1728 EtwLocalData     : Ptr64 Void
   +0x1730 EtwTraceData     : Ptr64 Void
   +0x1738 WinSockData      : Ptr64 Void
   +0x1740 GdiBatchCount    : Uint4B
   +0x1744 CurrentIdealProcessor : _PROCESSOR_NUMBER
   +0x1744 IdealProcessorValue : Uint4B
   +0x1744 ReservedPad0     : UChar
   +0x1745 ReservedPad1     : UChar
   +0x1746 ReservedPad2     : UChar
   +0x1747 IdealProcessor   : UChar
   +0x1748 GuaranteedStackBytes : Uint4B
   +0x1750 ReservedForPerf  : Ptr64 Void
   +0x1758 ReservedForOle   : Ptr64 Void
   +0x1760 WaitingOnLoaderLock : Uint4B
   +0x1768 SavedPriorityState : Ptr64 Void
   +0x1770 SoftPatchPtr1    : Uint8B
   +0x1778 ThreadPoolData   : Ptr64 Void
   +0x1780 TlsExpansionSlots : Ptr64 Ptr64 Void
   +0x1788 DeallocationBStore : Ptr64 Void
   +0x1790 BStoreLimit      : Ptr64 Void
   +0x1798 MuiGeneration    : Uint4B
   +0x179c IsImpersonating  : Uint4B
   +0x17a0 NlsCache         : Ptr64 Void
   +0x17a8 pShimData        : Ptr64 Void
   +0x17b0 HeapVirtualAffinity : Uint4B
   +0x17b8 CurrentTransactionHandle : Ptr64 Void
   +0x17c0 ActiveFrame      : Ptr64 _TEB_ACTIVE_FRAME
   +0x17c8 FlsData          : Ptr64 Void
   +0x17d0 PreferredLanguages : Ptr64 Void
   +0x17d8 UserPrefLanguages : Ptr64 Void
   +0x17e0 MergedPrefLanguages : Ptr64 Void
   +0x17e8 MuiImpersonation : Uint4B
   +0x17ec CrossTebFlags    : Uint2B
   +0x17ec SpareCrossTebBits : Pos 0, 16 Bits
   +0x17ee SameTebFlags     : Uint2B
   +0x17ee SafeThunkCall    : Pos 0, 1 Bit
   +0x17ee InDebugPrint     : Pos 1, 1 Bit
   +0x17ee HasFiberData     : Pos 2, 1 Bit
   +0x17ee SkipThreadAttach : Pos 3, 1 Bit
   +0x17ee WerInShipAssertCode : Pos 4, 1 Bit
   +0x17ee RanProcessInit   : Pos 5, 1 Bit
   +0x17ee ClonedThread     : Pos 6, 1 Bit
   +0x17ee SuppressDebugMsg : Pos 7, 1 Bit
   +0x17ee DisableUserStackWalk : Pos 8, 1 Bit
   +0x17ee RtlExceptionAttached : Pos 9, 1 Bit
   +0x17ee InitialThread    : Pos 10, 1 Bit
   +0x17ee SpareSameTebBits : Pos 11, 5 Bits
   +0x17f0 TxnScopeEnterCallback : Ptr64 Void
   +0x17f8 TxnScopeExitCallback : Ptr64 Void
   +0x1800 TxnScopeContext  : Ptr64 Void
   +0x1808 LockCount        : Uint4B
   +0x180c SpareUlong0      : Uint4B
   +0x1810 ResourceRetValue : Ptr64 Void

test.cpp 参考代码:

#include "stdafx.h"

#include <iostream>
#include <windows.h>
#include <subauth.h>

#pragma region 依赖 

extern "C" PVOID64 _cdecl GetPeb();		// 引用 .asm 文件中的函数

#pragma endregion

int _tmain(int argc, _TCHAR* argv[])
{
	// 获取 64位 Peb 地址 
	PVOID64 Peb = GetPeb();	
	std::cout << "Peb = " << std::hex << Peb << std::endl;

	// 获取 BeingDebugged 地址
	BYTE BeingDebugged = *(BYTE*)((BYTE*)Peb+0x2); 
	std::cout << "BeingDebugged = " << std::hex << (DWORD)BeingDebugged << std::endl;
	
	// 获取 NtGlobalFlag 地址
	BYTE NtGlobalFlag = *(BYTE*)((BYTE*)Peb+0xbc); 
	std::cout << "NtGlobalFlag = " << std::hex << (DWORD)NtGlobalFlag << std::endl;
	
	getchar();
	return 0;
}

效果图:
在这里插入图片描述
终于写完啦,明天中秋,记得回家看看啊。(ノ゚∀゚)ノ

(-: LYSM :-)
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PEB_Test.rar
12-26
1. IsDebuggerPresent 2. PEB(进程环境块) 3. 软件断点防止 4. CheckRemoteDebuggerPresentNtQueryInformationProcess 5:参考于https://www.4hou.com/web/15211.html,介绍的调试调试方法
PEB调试
lwhaaaa的博客
04-26 1048
文章目录0x01 PEB 简介0x02 成员介绍一、BeingDebugged二、Ldr三、ProcessHeap四、NtGlobalFlag 0x01 PEB 简介 ​ PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化。其中与我们的调试有较大关系的成员有: +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +
置入汇编实现检测是否调试-易语言
06-11
IsDebuggerPresent ()一般用来检测程序是否出于调试状态,返回值逻辑型 纯汇编调用此API,好处是程序导入表中查看不到此API 不过终究还是调用了API,bp 断点可以正常断下, 而且一般OD 调试插件已经和谐此函数,所以: 此源码仅用于学习研究,请勿用于发布版程序! ========== 1 遍历PEB表,获取IsDebuggerPresent函数地址 2 调用IsDebuggerPresent 2 判断返回值是否为真,如果是真,程序自动崩溃   如果是假,继续向下执行 源码内有使用说明和注意事项
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
NtGlobalFlag
MyBlog
11-06 1220
简单的 NtGlobalFlag 调试程序:#include "stdafx.h" #include <windows.h>#define NAKED __declspec(naked)NAKED BOOL Detect32() { __asm { push ebp; mov ebp, esp; pushad; mov
调试学习
haodawei123的博客
12-18 212
1、PEB调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
调试技巧总结-原理和实现
weixin_34198453的博客
11-27 326
一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要下就知道了。我想代码其实意义不是很大,重要的是理解和运用。 做个简单的总结,说明下实现原理和实现方法。也算回复了...
VB.NET 从PEB->BeingDebugged标志位判断被调试
12-09 663
说实在的我本是想从PEB中保存 调试对象句柄 的标志位判断是 否被调试的,可惜搞了个多小时也没搞定 实在算不准偏移到底 是好多、当然可以在WinDbg在DT !PEB不过真的很麻烦,我在 网上找了一些PEB结构的声明,最后我再Nirsoft.NET上找到了 一个很全面地PEB结构声明,说实在话看的我不知所云、好吧 保存调试对象句柄的标志位为 -> ULONG SystemReser
被 C# 的 ThreadStatic 标记的静态变量,都存放在哪里了?
一线码农的专栏
11-23 375
一:背景 1. 讲故事 前几天公号里有一位朋友留言说,你windbg玩的溜,能帮我分析下被 ThreadStatic 修饰的变量到底存放在哪里吗?能不能帮我挖出来????????????,其实这个问题问的挺深的,玩高级语言的朋友相信很少有接触到这个的,虽然很多朋友都知道这个特性怎么用,当然我也没特别研究这个,既然要回答这个问题,我得研究研究回答之!为了更好的普适性,先从简单的说起! 二:ThreadStatic 的用法 1. 普通的 static 变量 相信很多朋友在代码中都使用过 static 变量,它的
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
ModuleLister-PEB
04-04
PEB: PPEB; cLdrModule: TPebLdrData; List: TListItem; cModName: String; cModBase: LongWord; i: Integer; begin asm push eax mov eax, fs: $30 mov PEB, eax pop eax end; cLdrModule := ...
调试器检测技术 - 2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags
codemanrock
04-08 2754
2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags PEB.NtGlobalFlag PEB另一个成员被称作NtGlobalFlag(偏移0x68),壳也通过它来检测程序是否用调试器加载。通常程序没有被调试时,NtGlobalFlag成员值为0,如果进程被调试这个成员通常值为0x70(代表下述标志被设置): FLG_HEAP_ENA
调试总结
weixin_52369224的博客
03-03 549
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
TEB,PEB,LDR结构
yeanhoo的博客
10-15 1943
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
关于APC机制
sxr__nc的博客
03-12 1056
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《Windows的APC机制》受益匪浅,总结一点自己关于APC的思路: 之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
Win32之隐藏DLL隐藏模块技术
weixin_30532837的博客
09-06 465
          Win32之隐藏DLL隐藏模块技术 这一讲涉及到windows底层技术.跟汇编内容. 我们才可以实现模块隐藏(也称为DLL隐藏) 一丶API汇编勾引兴趣   我们都用过Windows的进程跟线程API 也就是 GetCurrentThreadId() 跟 GetCurrentProcessId(): 一个是获取进程ID,一个是线程ID 那么我们利用汇编技术...
TP保护的研究和学习-用户态下调试附加篇(二)
星空漫步者
04-23 1018
TP保护的研究和学习-用户态下调试附加篇 引言: ​ 本篇系列旨在研究学习腾讯保护系统的保护方案实现,文中尽量以“发现问题然后尝试解决问题”的模式来处理遇到的问题,此前网上有太多相关的资料都只是给出了一个结论式答案或者方法,对于想要深入学习的人太不友好。 我相信有很多人和我一样在尝试去深入分析的时候遇到了各种问题,我的处理方式就是遇到实际问题实际分析的方式来推进学习; ​ 计算机理论到现在为止已经...
调试 - SetUnhandledExceptionFilter
LYSM
07-12 5052
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
windows peb
最新发布
08-08
PEB (Process Environment Block) 是 Windows 操作系统中的一个数据结构,用于存储进程的运行环境信息。它包含了许多与进程相关的细节,如进程的全局变量、进程堆栈的基地址、命令行参数、环境变量等。 PEB 可以通过访问进程的 TEB (Thread Environment Block) 结构来获取。每个进程都有一个 PEB 结构,而每个线程都有一个 TEB 结构。TEB 结构中的一个字段指向了进程的 PEB 结构。 PEB 中的一些重要字段包括: - ImageBaseAddress:进程的基地址,即进程加载的模块的基地址。 - ProcessParameters:指向一个结构体,其中包含了进程的命令行参数、环境变量等信息。 - Ldr:指向一个结构体,其中包含了加载器相关的信息,如已加载的模块列表。 通过访问 PEB 结构,可以获取进程的许多运行时信息,对于一些需要获取进程环境信息的应用场景,PEB 是一个很有用的数据结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值