反调试 - CloseHanlde,NtClose

最新推荐文章于 2023-07-21 10:00:00 发布
最新推荐文章于 2023-07-21 10:00:00 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107143375
版权

原理就是调用 CloseHandle 释放一个无效句柄,如果没有被调试,那么函数返回FALSE,GetLastError = ERROR_INVALID_HANDLE;但如果被调试,那么系统将抛出异常 C0000008H。

代码:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

typedef NTSTATUS(WINAPI* pNtClose)(HANDLE);

int main()
{
	// CloseHandle
	__try {
		CloseHandle(reinterpret_cast<HANDLE>(0x99999999));
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		cout << "CloseHandle 发现调试器" << endl;
	}

	// NtClose
	HMODULE h_ntdll = LoadLibrary(L"ntdll.dll");
	if (h_ntdll == NULL) {
		cout << "ntdll.dll LoadLibrary failed." << endl;
		goto main_end;
	}
	pNtClose NtClose = (pNtClose)GetProcAddress(h_ntdll, "NtClose");
	if (NtClose == NULL) {
		cout << "NtClose GetProcAddress failed." << endl;
		goto main_end;
	}
	__try {
		NtClose(reinterpret_cast<HANDLE>(0x99999999));
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		cout << "NtClose 发现调试器" << endl;
	}

main_end:
    getchar();
    return 0;
}

效果图:
(1)正常情况
在这里插入图片描述

(2) 使用 VS 调试
在这里插入图片描述

方法二


	HANDLE hMutex;
	hMutex = CreateMutex(NULL, FALSE, _T("Random name"));

	if (hMutex) {
		// CloseHandle 后不关闭对象句柄
		SetHandleInformation(hMutex, HANDLE_FLAG_PROTECT_FROM_CLOSE, HANDLE_FLAG_PROTECT_FROM_CLOSE);

		__try {
			// 在调试模式中关闭这个句柄会引发异常,非调试模式不会
			CloseHandle(hMutex);
		}
		__except (EXCEPTION_EXECUTE_HANDLER) {
			cout << "发现调试器!" << endl;;
		}

	}
(-: LYSM :-)
关注
专栏目录
Closehandle调试实战
weixin_37740119的博客
01-23 625
测试两个代码查看closehandle应用的具体情形: #include "stdio.h" #include "windows.h" #include "tchar.h" #include <iostream> using namespace std; BOOL CheckDebug() { __try { CloseHandle((HANDLE)0x1234); } __except(1) { cout ...
eac 调试_自己动手制作一个过保护调试
weixin_39549899的博客
12-19 1704
一、起因本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数,所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数的...
使用CloseHandle对抗调试
蛛丝
12-30 2279
      我最近调试程序才发觉,CloseHandle这个函数的一个怪异的行为。我突然想到可以利用这个行为来欺骗或者对抗调试器。    这个怪异的行为是这样的,调用CloseHandle释放一个无效句柄,如果进程在调试器之外,那么函数返回FALSE,而GetLastError得到ERROR_INVALID_HANDLE;但是如果进程在调试器内,那么系统将抛出异常C0000008H。一、首先说如何得到一个无效句柄呢?方法一:一个句柄释放多次次    这个方法看似没问题,但实际有很大的隐患。因为新创建的内核对
调试NtClose
qonsnow的博客
05-27 750
NtClose调试 原理,NtClose函数在释放无效句柄时。如果没有被调试,那么函数返回FALSE。如果处于调试状态 则会抛出异常C0000008H。 参考 调试 - CloseHanlde,NtClose
CloseHandle调试_检测调试器原理
03-02
调试调试器检测、保护自己的程序不被调试和分析
调试
qq_41490873的博客
09-25 1117
软件断点 TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点, 通过TLS回调得到程序的OEP然后判断入口是否为int3断点 IsDebugPresent函数 IsDebugPresent判断进程环境块的一个flag是否为真,如果是真就代表正在被调试 HWBP_Exception(硬件断点) ...
由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 问题解决
ahch8077的博客
12-26 432
今天使用VS2008调试dll程序,调用dll的exe抛出异常 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 发现原因是小红伞Avira更新导致的。 官方的解决方案为: http://www.avira.com/de/support-for-free-faq-detail/faqid/805 不过是德语的 官方称这个b...
种类齐全的调试调试,来自GitHub
12-06
- CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - ...
python逆向调试工具_[原创]用IDAPython实现的调试小脚本
weixin_39861734的博客
12-21 981
更新加一个github地址DBGHider,里面加了inline hook。背景许多人喜欢用IDA进行静态分析,用OllyDbg进行动态分析,似乎很少人喜欢使用IDA进行调试。然而我这个菜鸟不会用OD,所以没有体会它的强大之处,我更喜欢用IDA的调试器。IDA的调试器功能也很强大。支持x64位程序。可以充分利用静态分析的结果。支持多种平台,Windows版本的IDA支持本地Windows调试,同时...
C++ 中CloseHandle 函数–关闭一个句柄
01-01
CloseHandle函数 作用 关闭一个打开的对象句柄。 语法 BOOL WINAPI CloseHandle( _In_ HANDLE hObject ); 参数 hObject   已经打开的有效对象句柄。 返回值 如果函数操作成功,返回值为非零值 如果函数操作失败,返回值为零。 注意: (1)句柄不应该被关闭两次; (2)可以关闭的句柄有控制台输入、控制台屏幕缓冲区等。 头文件 Winbase..h(包括Windows.h) 参考来源:来源:https://msdn.microsoft.com/en-us/library/windows/desktop/ms724
ColdHide是适用于Windows的迷你,简单的开源用户模式调试库x86 / x64-C/C++开发
05-27
ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,请尝试使用ColdMDLoader。 ColdHide ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,...
汇总病毒样本的常用调试技术、分析技巧(持续更新)
ATree的博客
09-06 1261
自己在看到一些没见过的调试技术时,感觉很好奇,不清楚时如何调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些调试手段,这样后面大家如果碰到类似的调试技术时,都会很容易理解这段恶意代码的作用了。 1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境 2、下图中的v3的...
未处理的异常: 0xC0000235: 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭。...
weixin_30483697的博客
02-18 330
环境:WIN7 64Bit,杀软仅有MSE,在VS2005开发一MFC项目。 由于用到了网络请求,所以使用了多线程技术,考虑到C Runtime 线程安全,使用了C函数__beginthread(…): 出现了下面的错误提示 堆栈信息: 换成Window API :CreateThread 就没有此问题了。 原因可能是安全软件拦截了某些调用: 参考:http://hi.baidu.c...
4.4 x64dbg 绕过调试保护机制
m0_62396648的博客
07-08 1505
我们以第一种调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,则返回True,否则返回False。函数通过检查特定的内存地址来判断是否有调试器在运行。具体来说,该函数检查了PEB(进程环境块)数据结构中的字段,该字段标识当前程序是否处于调试状态。如果该字段的值为1,则表示当前程序正在被调试,否则表示当前程序没有被调试。获取PEB的方式有许多,虽然LyScript插件内提供了。
调试专题丨调试之最朴实的招式最致命
最新发布
m0_64973256的博客
07-21 98
类名可以是向 RegisterClass 或 RegisterClassEx 注册的任何名称,也可以是预定义控件类名称中的任何名称。//检索顶级窗口的句柄,该窗口的类名称和窗口名称与指定的字符串匹配。中指定的进程的所有模块。若要搜索子窗口,请从指定的子窗口开始,请使用 FindWindowEx 函数。在快照中包含系统中的所有进程。在快照中包含系统中的所有线程。中指定的进程的所有堆。//获取指定进程的快照,以及这些进程使用的堆、模块和线程。中指定的进程的堆和模块。中指定的进程的所有 32 位模块。
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1721
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
如何绕过调试技术——学习总结(4)
weixin_43742894的博客
04-09 1777
在之前的三篇文章,进行了绕过调试技术的相关实验,先对其进行总结。 如何绕过调试技术——学习回顾(1) 如何绕过调试技术——学习回顾(2) 如何绕过调试技术——学习回顾(3) 一、绕过数据结构的调试(实际上那些调试API也是通过这些成员识别调试) 例如BeingDubgged和NtGlobalFalg以及ProcessHeap的调试技术。 1.使用插件phantOM 插件功能强大,可...
内核开发宝典:全面解读Nt内核函数
- NtClose:通用的关闭操作,适用于各种类型的内核对象。 - NtDuplicateObject:复制对象的句柄,便于安全地共享资源。 - NtCreateDirectoryObject/SymbolicLinkObject:创建目录和符号链接对象,用于组织和管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值