C++ 反调试(NtSetInformationThread)

最新推荐文章于 2022-09-08 11:05:30 发布
最新推荐文章于 2022-09-08 11:05:30 发布
阅读量3.3k 收藏 6
点赞数 2
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/103161482
版权

先上代码:

// Test_Console.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <afx.h>  
#include <tchar.h>
#include <afxwin.h>
#include <Windows.h>
#include <vector>
#include <iostream>
#include <assert.h>
#include <psapi.h>
#include <tlhelp32.h>
#include <WtsApi32.h>
#include <locale.h>
#include <ShObjIdl.h>
#include <stdio.h>
#include <fstream>
#include <string>
#include<thread>

using namespace std;

#pragma region 依赖 

typedef enum _THREADINFOCLASS { 
	ThreadBasicInformation, 
	ThreadTimes, 
	ThreadPriority, 
	ThreadBasePriority, 
	ThreadAffinityMask, 
	ThreadImpersonationToken, 
	ThreadDescriptorTableEntry, 
	ThreadEnableAlignmentFaultFixup, 
	ThreadEventPair_Reusable, 
	ThreadQuerySetWin32StartAddress, 
	ThreadZeroTlsCell, 
	ThreadPerformanceCount, 
	ThreadAmILastThread, 
	ThreadIdealProcessor, 
	ThreadPriorityBoost, 
	ThreadSetTlsArrayAddress, 
	ThreadIsIoPending, 
	ThreadHideFromDebugger, 
	ThreadBreakOnTermination, 
	MaxThreadInfoClass 
} THREADINFOCLASS;

typedef NTSTATUS(WINAPI *NtSetInformationThreadPtr)(
		HANDLE threadHandle,
		THREADINFOCLASS threadInformationClass,
		PVOID threadInformation,
		ULONG threadInformationLength
	);
	
// 反调试函数
void HideFromDebugger(){
    HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll"));
    NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hNtDll,"NtSetInformationThread");
    NTSTATUS status = NtSetInformationThread(GetCurrentThread(),ThreadHideFromDebugger,NULL,0);
}

// 线程函数
void myThread(){
	HideFromDebugger();
	while(1){
		cout << "hello" << endl;

		Sleep(1000);
	}
}

#pragma endregion


int _tmain(int argc, _TCHAR* argv[])
{
	// 创建线程
	thread thr(myThread);
	thr.join();
	

	getchar();
	return 0;
}

在这里插入图片描述
注意:这个函数一定要加上 WINAPI ,如果不加的话运行程序时就会出现以下错误:
在这里插入图片描述解释起来就是,编译器不认识你定义的函数指针,因为你调用的dll函数是一个远函数,而且是一个C函数,你得告诉编译器它是个c函数才行。

效果图

1.正常打开,程序正常运行:
在这里插入图片描述

2.使用 vs 调试程序,在以下两处下断点,
在这里插入图片描述
启动调试,在 HideFromDebugger(); 正常断下,
在这里插入图片描述
再次点击 继续 按钮,本应该在第二个断点处断下,但是程序调试结束了:
在这里插入图片描述
3.使用 x32dbg 附加进程,这里为了方便出发断点,我把代码做了一点修改:
(这样就可以在 x32dbg 里下 api 断点了)

void myThread(){
	HideFromDebugger();
	while(1){
		//cout << "hello" << endl;
		MessageBox(NULL,"","",NULL);	// 改成 MessageBox

		Sleep(10000);					// 改成 10s
	}
}

当调试器出发 MessageBoxA 断点时,程序退出:
在这里插入图片描述

每天进步一点点 = =
在这里插入图片描述

(-: LYSM :-)
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ 调试(基于 SEH 的 SetUnhandledExceptionFilter)
墨鱼菜鸡
09-19 210
终于! 终于把静态调试串了一遍,虽然没有包含全部但是也对调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以...
C++ 调试(PEB)
墨鱼菜鸡
09-10 251
PEB 调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 ...
C++ 调试(ZwSetInformationThread
LYSM
09-18 2691
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
C++ 调试NtQueryInformationProcess)
LYSM
09-17 2067
关于 NtQueryInformationProcess 的调试参考这篇文章 没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` )) 首先我们看下之前写的代码(部分): status = NtQueryInformationProcess( GetCurrentProcess(), // 进程句柄 ...
C++ 调试 - TLS
LYSM
09-05 642
这个调试的手法有一定的局限性,因为 TLS (线程局部存储)只是优先于 main 函数运行而已,并不是专门的调试,所以 —— 这种调试只能放置 OD ~ 打开,而不能防止 OD ~ 附加。 上代码: // 指定一个 "/INCLUDE:__tls_used" 连接选项 #pragma comment(linker, "/INCLUDE:__tls_used") VOID NTAPI TLS...
C/C++ 程序调试的方法
CSDN
08-18 5981
C/C++ 要实现程序调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测调试,MapFileAndCheckSum,等都可实现调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
种类齐全的调试调试,来自GitHub
12-06
- NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation ...
ColdHide是适用于Windows的迷你,简单的开源用户模式调试库x86 / x64-C/C++开发
05-27
ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,请尝试使用ColdMDLoader。 ColdHide ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,...
HideFromDebugger
09-14
在IT行业中,"HideFromDebugger"是一个常见的调试技术,主要目的是防止恶意用户或安全研究人员通过调试工具分析程序的行为和内部逻辑。这个技术的核心是利用Windows API中的`NtSetInformationThread`函数来隐藏...
用户模式下的挂机中断和调用内核例程
04-07
本文将深入探讨这两个概念以及如何在C++、C和汇编语言环境下实现它们,特别是在VC6编译器下。 **挂机中断(Hooking Interrupts)** 挂机中断是一种技术,通过它可以拦截系统中特定中断处理程序,然后在处理程序...
易语言非真实API模块
08-16
易语言非真实API模块源码 系统结构:调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用_NtSetInformationFile,调用_...
C/C++ 调试与绕过手法
CSDN
09-13 5467
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的调试基础的实现原理以及如何过掉这些调试手段,从而让我们能够继续分析恶意代码
bouml 逆向分析c++_调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 335
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
C++汇编调试经验总结
coolmoon的专栏
11-17 796
汇编在万不得已的时候是不用不上的,因为大多数情况都可以通过调试代码和打log完成。但是在一些比较极端的情况,比如第三方的库函数里crash,既没有源代码,也不能打log,在这种情况下,恐怕唯一的办法就是通过阅读汇编代码找到一些线索。   1.基本知识点 C++对象在内存中的布局:   0x0039A470  00 21 40 00  --> vTable 0x0039A474
调试技术揭秘(转)
weixin_33935505的博客
03-04 514
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
C++隐藏线程
最新发布
LiWeiHua01的博客
09-08 681
防止线程被检测
我的调试记录
王嘟嘟的博客
03-26 554
一个调试的出现地方。 说明 demo 壳类型 无 出现地方
ZwSetInformationThread调试
lwhaaaa的博客
04-26 1605
文章目录0x01 ZwSetInformationThread () 介绍 0x01 ZwSetInformationThread () 介绍 ​ ZwSetInformationThread 等同于 NtSetInformationThread,通过为线程设置 ThreadHideFromDebugger,可以禁止线程产生调试事件。函数原型如下: VOID DisableDebugEvent(VOID) { HINSTANCE hModule; ZW_SET_INFORMATION_TH
调试 zwsetinformationthread
无本之木
07-09 4122
结构: typedef enum _THREADINFOCLASS { ThreadBasicInformation, // 0 Y N ThreadTimes, // 1 Y N ThreadPriority, // 2 N Y ThreadBasePriority, // 3 N Y ThreadAffinityMask, // 4 N Y ThreadImpersonation
调试 - SetUnhandledExceptionFilter
LYSM
07-12 5197
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值