反调试 - CloseHanlde,NtClose

最新推荐文章于 2023-07-21 10:00:00 发布
最新推荐文章于 2023-07-21 10:00:00 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107143375
版权

原理就是调用 CloseHandle 释放一个无效句柄,如果没有被调试,那么函数返回FALSE,GetLastError = ERROR_INVALID_HANDLE;但如果被调试,那么系统将抛出异常 C0000008H。

代码:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

typedef NTSTATUS(WINAPI* pNtClose)(HANDLE);

int main()
{
	// CloseHandle
	__try {
		CloseHandle(reinterpret_cast<HANDLE>(0x99999999));
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		cout << "CloseHandle 发现调试器" << endl;
	}

	// NtClose
	HMODULE h_ntdll = LoadLibrary(L"ntdll.dll");
	if (h_ntdll == NULL) {
		cout << "ntdll.dll LoadLibrary failed." << endl;
		goto main_end;
	}
	pNtClose NtClose = (pNtClose)GetProcAddress(h_ntdll, "NtClose");
	if (NtClose == NULL) {
		cout << "NtClose GetProcAddress failed." << endl;
		goto main_end;
	}
	__try {
		NtClose(reinterpret_cast<HANDLE>(0x99999999));
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		cout << "NtClose 发现调试器" << endl;
	}

main_end:
    getchar();
    return 0;
}

效果图:
(1)正常情况
在这里插入图片描述

(2) 使用 VS 调试
在这里插入图片描述

方法二


	HANDLE hMutex;
	hMutex = CreateMutex(NULL, FALSE, _T("Random name"));

	if (hMutex) {
		// CloseHandle 后不关闭对象句柄
		SetHandleInformation(hMutex, HANDLE_FLAG_PROTECT_FROM_CLOSE, HANDLE_FLAG_PROTECT_FROM_CLOSE);

		__try {
			// 在调试模式中关闭这个句柄会引发异常,非调试模式不会
			CloseHandle(hMutex);
		}
		__except (EXCEPTION_EXECUTE_HANDLER) {
			cout << "发现调试器!" << endl;;
		}

	}
(-: LYSM :-)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Closehandle调试实战
weixin_37740119的博客
01-23 598
测试两个代码查看closehandle应用的具体情形: #include "stdio.h" #include "windows.h" #include "tchar.h" #include <iostream> using namespace std; BOOL CheckDebug() { __try { CloseHandle((HANDLE)0x1234); } __except(1) { cout ...
CloseHandle调试_检测调试器原理
03-02
调试调试器检测、保护自己的程序不被调试和分析
使用CloseHandle对抗调试
蛛丝
12-30 2256
      我最近调试程序才发觉,CloseHandle这个函数的一个怪异的行为。我突然想到可以利用这个行为来欺骗或者对抗调试器。    这个怪异的行为是这样的,调用CloseHandle释放一个无效句柄,如果进程在调试器之外,那么函数返回FALSE,而GetLastError得到ERROR_INVALID_HANDLE;但是如果进程在调试器内,那么系统将抛出异常C0000008H。一、首先说如何得到一个无效句柄呢?方法一:一个句柄释放多次次    这个方法看似没问题,但实际有很大的隐患。因为新创建的内核对
调试NtClose
qonsnow的博客
05-27 713
NtClose调试 原理,NtClose函数在释放无效句柄时。如果没有被调试,那么函数返回FALSE。如果处于调试状态 则会抛出异常C0000008H。 参考 调试 - CloseHanlde,NtClose
由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 问题解决
ahch8077的博客
12-26 413
今天使用VS2008调试dll程序,调用dll的exe抛出异常 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 发现原因是小红伞Avira更新导致的。 官方的解决方案为: http://www.avira.com/de/support-for-free-faq-detail/faqid/805 不过是德语的 官方称这个b...
种类齐全的调试调试,来自GitHub
12-06
- CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - ...
ColdHide是适用于Windows的迷你,简单的开源用户模式调试库x86 / x64-C/C++开发
05-27
ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,请尝试使用ColdMDLoader。 ColdHide ColdHide是适用于Windows的小型,简单的开源用户模式调试库x86 / x64。 要注入此库,...
DBGHider:一个IDA插件旨在隐藏进程中的调试
05-12
DBGHider DBGHider是一个用Python编写的IDA Pro 7.x插件。 它旨在从进程中隐藏IDA Winddows调试器。 DBGHider使用idaapi.DBG_Hooks钩住调试器: ... 这是NtClose的示例。 import idautils import idaapi
C++ 中CloseHandle 函数–关闭一个句柄
01-01
CloseHandle函数 作用 关闭一个打开的对象句柄。 语法 BOOL WINAPI CloseHandle( _In_ HANDLE hObject ); 参数 hObject   已经打开的有效对象句柄。 返回值 如果函数操作成功,返回值为非零值 如果函数操作失败,返回值为零。 注意: (1)句柄不应该被关闭两次; (2)可以关闭的句柄有控制台输入、控制台屏幕缓冲区等。 头文件 Winbase..h(包括Windows.h) 参考来源:来源:https://msdn.microsoft.com/en-us/library/windows/desktop/ms724
Pluto:一个手动系统调用库,它支持ntdll.dll和win32u.dll的功能
04-30
public delegate NtStatus NtClose ( IntPtr handle ); var syscall = new Syscall < NtClose>(); var handle = IntPtr . Zero ; var status = syscall . Method ( handle ); Syscall类别 提供在DLL中系统调用函数的...
未处理的异常: 0xC0000235: 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭。...
weixin_30483697的博客
02-18 309
环境:WIN7 64Bit,杀软仅有MSE,在VS2005开发一MFC项目。 由于用到了网络请求,所以使用了多线程技术,考虑到C Runtime 线程安全,使用了C函数__beginthread(…): 出现了下面的错误提示 堆栈信息: 换成Window API :CreateThread 就没有此问题了。 原因可能是安全软件拦截了某些调用: 参考:http://hi.baidu.c...
调试专题丨调试之最朴实的招式最致命
最新发布
m0_64973256的博客
07-21 66
类名可以是向 RegisterClass 或 RegisterClassEx 注册的任何名称,也可以是预定义控件类名称中的任何名称。//检索顶级窗口的句柄,该窗口的类名称和窗口名称与指定的字符串匹配。中指定的进程的所有模块。若要搜索子窗口,请从指定的子窗口开始,请使用 FindWindowEx 函数。在快照中包含系统中的所有进程。在快照中包含系统中的所有线程。中指定的进程的所有堆。//获取指定进程的快照,以及这些进程使用的堆、模块和线程。中指定的进程的堆和模块。中指定的进程的所有 32 位模块。
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
c语言取模块句柄函数,关于取模块句柄
weixin_31558841的博客
05-20 774
.版本 2.支持库 spec.程序集 窗口程序集_启动窗口.程序集变量 Moudle32, MODULEENTRY32.子程序 __启动窗口_创建完毕调试输出 (API_LocalSize (Moudle32)).子程序 ListProcessModules, 逻辑型.参数 dwPID, 整数型.参数 模块句柄, 整数型, 参考.参数 模块名称, 文本型.局部变量 Hmodule, 整数型Hmod...
26种对付调试的方法
weixin_34235371的博客
05-15 4505
2019独角兽企业重金招聘Python工程师标准>>> ...
调试 - SetUnhandledExceptionFilter
LYSM
07-12 5197
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
Windows NT内核关键函数详解
"本文主要介绍了NT内核函数的多种关键操作,包括驱动程序的加载、卸载、调试、系统调试控制、电源管理以及对象管理等多个方面。这些函数是Windows操作系统内核的重要组成部分,用于实现系统级的操作和控制。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值