C++ 反反调试(NtQueryInformationProcess)

最新推荐文章于 2021-08-23 10:55:59 发布
最新推荐文章于 2021-08-23 10:55:59 发布
阅读量2.1k 收藏 10
点赞数 5
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/100916760
版权

关于 NtQueryInformationProcess 的反调试参考这篇文章

没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` ))

首先我们看下之前写的代码(部分):

status = NtQueryInformationProcess(
                GetCurrentProcess(),			// 进程句柄
                0x7,							// 要检索的进程信息类型,ProcessDebugPort:调试器端口号
                &isDebuggerPresent,				// 接收进程信息的缓冲区指针
                sizeof(DWORD),					// 缓冲区大小
                NULL							// 实际返回进程信息的大小
			);

我的代码里的 NtQueryInformationProcess 中第二个参数使用 0x7(也就是 ProcessDebugPort)来检测程序是否被调试,当然第一步我们只做一个简单的验证,所以只关注 0x7 就可以。

但是在实际操作中,还要关注 0x1E、0x1F 。

测试程序还是上一篇里的,如果不知道效果看顶部的超链接,这里不再啰嗦。

简单验证

用 OD 打开程序(这里就用吾爱破解 OD 了,反正吾爱的 OD 也检测不到 NtQueryInformationProcess 的反调试,所以用什么 OD 都一样啦 )
就这样在入口点断下来 ——
在这里插入图片描述
然后不要着急调试。回到之前的源码,添加两行内容:

// ntdll 加载成功
	if(hNtDll){
		// 取 NtQueryInformationProcess 函数地址
		NtQueryInformationProcess = (pfnNtQueryInformationProcess)GetProcAddress(hNtDll, "NtQueryInformationProcess");
		
		// 新添加的两行代码,用来打印 ntdll.dll 地址、NtQueryInformationProcess 地址
		std::cout << "hNtDll = " << std::hex << hNtDll << std::endl;
		std::cout << "NtQueryInformationProcess = " << std::hex << NtQueryInformationProcess << std::endl;
		
		...
		...

运行下程序看下效果,经多次运行发下这两个值是固定不变的:
在这里插入图片描述
回到 OD 里,来到 0x771FF08 处,并下一个断点:
在这里插入图片描述
点击运行,发现程序断下,右下角堆栈里的内容证明我们断下的位置是正确的:
但这个调用并不是我们想要的,原因是函数的第二个参数为 0x24,而我们在源码里的是 0x7
在这里插入图片描述
继续点击运行,直到第二个参数变成 0x7 为止:
在这里插入图片描述
我们再回头看源码,NtQueryInformationProcess 是使用第三个参数来接收进程信息的:

status = NtQueryInformationProcess(
                GetCurrentProcess(),			// 进程句柄
                0x7,							// 要检索的进程信息类型,ProcessDebugPort:调试器端口号
                &isDebuggerPresent,				// 接收进程信息的缓冲区指针
                sizeof(DWORD),					// 缓冲区大小
                NULL							// 实际返回进程信息的大小
			);

也就是说,003CF590 这个地址里存放 NtQueryInformationProcess 返回的数据,而这个数据,是判断是否有调试器附加的关键:
在这里插入图片描述
那现在思路就已经很清晰了,我们只需要让 003CF590 这个地址无法接收到这个数据就可以啦! 我是采用的粗暴手段,直接修改堆栈数据,把原来的 003CF590 改成 002CF590:
在这里插入图片描述
然后再次点击几次运行,确保之后没有再出现 第二个参数为 0x7 的调用。最后取消断点,运行程序:
发现反反调试已经生效 <{=....(嘎嘎~)
在这里插入图片描述

全篇文章都那么正式好不习惯。最后一张图挽回下气氛,讲究 ——
在这里插入图片描述

(-: LYSM :-)
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++调试(基于 SEH 的 SetUnhandledExceptionFilter)
墨鱼菜鸡
09-19 214
终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以...
C++ 反反调试(PEB)
墨鱼菜鸡
09-10 262
PEB 反调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 ...
C++调试(ZwSetInformationThread)
LYSM
09-18 2717
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
C++调试(NtSetInformationThread)
LYSM
11-20 3373
先上代码: // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <afx.h> #include <tchar.h> #include <afxwin.h> #include <Windows.h> #include <vector> #inclu...
ColdHide是适用于Windows的迷你,简单的开源用户模式反反调试库x86 / x64-C/C++开发
05-27
ColdHide是适用于Windows的小型,简单的开源用户模式反反调试库x86 / x64。 要注入此库,请尝试使用ColdMDLoader。 ColdHide ColdHide是适用于Windows的小型,简单的开源用户模式反反调试库x86 / x64。 要注入此库,...
调试源代码,10多种方式
01-17
在IT行业中,尤其是在软件开发和安全领域,"反调试"是一种常见的技术,它用于保护程序免受恶意分析或逆向工程。"反调试"源代码通常包含一系列的策略和技巧,目的是让调试器无法正常工作或者使调试过程变得极其困难。...
WIN10 X64下通过TLS实现反调试
liuyez123的博客
04-27 9617
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS的反调试,原理实为在实际的入口点代码执行
各种反调试技术原理与实例VC版.pdf
12-15
本书主要围绕Windows平台上的Visual C++环境展开,介绍了一系列实用且有效的反调试技术。 #### 重要知识点详解 1. **窗口类名、窗口名** - **原理**:调试器通常会在目标程序运行时创建一个可见窗口用于显示调试...
C++调试 - TLS
LYSM
09-05 653
这个反调试的手法有一定的局限性,因为 TLS (线程局部存储)只是优先于 main 函数运行而已,并不是专门的反调试,所以 —— 这种反调试只能放置 OD ~ 打开,而不能防止 OD ~ 附加。 上代码: // 指定一个 "/INCLUDE:__tls_used" 连接选项 #pragma comment(linker, "/INCLUDE:__tls_used") VOID NTAPI TLS...
如何得到其它进程的启动命令行参数.vc这个程序可以得到其他进程的命令行参数_NtQueryInformationProcess第二个参数为0
03-20
如何得到其它进程的启动命令行参数.vc这个程序可以得到其他进程的命令行参数_NtQueryInformationProcess第二个参数为0
获取父进程的ID.获取父进程ID的代码 NtQueryInformationProces
03-20
获取父进程的ID.获取父进程ID的代码 NtQueryInformationProces
得到指定进程所占用的句柄数_NtQueryInformationProcess第二个参数为20.zip
03-20
得到指定进程所占用的句柄数handle_NtQueryInformationProcess第二个参数为20.zip
查找父进程,进程的PEB 进程是否被调试 NtQueryInformationProcess
10-08 397
这个函数的功能很强大,可以用来查找进程的很多相关信息。 先看一下定义: NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, _In_ PROCESSINFOCLASS ProcessInformationClass, _Out_ ...
C/C++ 程序反调试的方法
CSDN
08-18 6026
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
C/C++调试与绕过手法
CSDN
09-13 5490
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给反病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的反调试基础的实现原理以及如何过掉这些反调试手段,从而让我们能够继续分析恶意代码。
bouml 逆向分析c++_反调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 373
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
WindowsAPI ——NtQueryInformationProcess
qq_38933606的博客
08-23 1939
NtQueryInformationProcess 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值