反调试 - int 2dh , int 3h

最新推荐文章于 2022-07-30 15:49:01 发布
最新推荐文章于 2022-07-30 15:49:01 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107302996
版权

原理

第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。

如果有调试器,调试器就会接管这个 int 2dh 产生的异常从而不走我们设置的异常回调处理函数,当然如果调试器选择不接管这个异常我们是无法检测出调试器的,所以这是一种比较低级的反调试手段。

代码

int2d_x64.asm:

  • 首先创建一个.cpp 文件,改下后缀为 .asm
  • 找到这个asm 文件右键 - 属性,设置成如下:
    在这里插入图片描述
    在这里插入图片描述

命令行:ml64 /Fo $(IntDir)%(fileName).obj /c %(fileName).asm
输出:$(IntDir)%(fileName).obj

  • 最后填入代码:
.code 

__int2d proc
    int 2dh
    nop
	ret
__int2d endp

end

Test.cpp:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

extern "C" void __int2d();

BOOL isDebugger = TRUE;

// 我们的异常接管函数
static LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo){
	
	isDebugger = FALSE;

	// 如果引发异常的是一个断点
	if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT){
		// 忽略该异常,继续执行
		return EXCEPTION_CONTINUE_EXECUTION;
	}

	// 继续向上一层 seh 查找异常处理方法
	return EXCEPTION_CONTINUE_SEARCH; 
}

int main()
{
	// 注册 veh,1代表第一个被调用(非零都是第一个被调用)
	PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);

	// 使用 int 2dh 触发异常
	__int2d();

	// 删除 veh
	RemoveVectoredExceptionHandler(Handle);

	// 判断调试器
	if (isDebugger == TRUE) {
		cout << "发现调试器" << endl;
	}
	else {
		cout << "没有调试器" << endl;
	}

main_end:
    getchar();
    return 0;
}

效果图

vs 调试:
在这里插入图片描述

正常启动:
在这里插入图片描述

同理 int3 反调试代码:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

BOOL isDebugger = TRUE;

// 我们的异常回调处理函数
LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo) {
    isDebugger = FALSE;

    // 如果这个异常属于断点异常
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT) {
        // 因为 int3 属于陷阱异常,中断完成后要回到产生异常的下一条指令(否则会一直产生 int3 陷入死循环)
#ifdef _WIN64
        ExceptionInfo->ContextRecord->Rip++;
#else
        ExceptionInfo->ContextRecord->Eip++;
#endif
        // 忽略异常继续执行
        return EXCEPTION_CONTINUE_EXECUTION;
    }

    // 继续向上一层 seh 查找异常处理方式
    return EXCEPTION_CONTINUE_SEARCH;
}

int main()
{
    // 注册 veh
    PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);

    // 手动触发异常
    __debugbreak();

    // 删除 veh
    RemoveVectoredExceptionHandler(Handle);

    // 判断调试器
    if (isDebugger == TRUE) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }

    getchar();
    return 0;
}
(-: LYSM :-)
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
INT 2DH中断
BetaBin
02-04 1751
立春好时节……Mark一个2dh中断。 ; push offset _seh ; ; push fs:[0] ; > 设置seh ; mov fs:[0], esp ;/ ; ; int 2dh ; 如果被调试则正常运行 ;
利用INT 2DH 调试
P.Kwok
11-30 1497
         取材于rootkit.com的一篇文章,因为简单就不按照原文严格翻译了。原文链接http://rootkit.com/newsread.php?newsid=669第2dh号中断处理函数是KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。; 
Int 2Dh debugger detection and code obfuscation
04-28 939
ReWolf ;---------------------------------------------------------------------------; Int 2Dh debugger detection and code obfuscation - ReWolf^HTB;; Date: 14.III.2007;; ; I. BACKGROUND;; Possibly new
再谈Patch int 3 中断例程调试
anxi2128的博客
09-30 763
上篇文章Patch Intel int 3断点指令的功能中谈到利用int 3调试方法,今天想更深入的谈谈关于int 3调试的方法。 在上篇文章中的方法过于简单直接就返回了,这样容易被发现和恢复。我需要的是更加不容易被发现的方法。 我先把内核当中int 3的中断处理例程贴出来: public _KiTrap03 _KiTrap03 proc ...
Win32下常见调试技术
HexRain的专栏
12-17 4899
1 探索内存差异 跟到的一个IceSword用户层程序中的一个调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
Windows调试技术参考
子曰小玖的博客
01-08 1274
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术。 调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文中,我们假设所有的程序都是在Rin...
调试学习
把梦想放飞在蓝色的天空里...
05-11 1326
1. INT 2D INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因
逆向入门-调试
AppWhite_Star的博客
07-30 2154
逆向基础-调试专题
调试总结
zhuhuibeishadiao
04-04 5233
TP:3种方法适用于win7 x64 ~ win10 一:1.恢复调试权限 2.结束11号线程 3.恢复所有线程 二:秒杀TP方法:CE使用VEH模式 结束11号线程 三:手动过TP:先于TX游戏运行OD,结束11号线程 直接附加进程 x86方法: 1.以上随便一种 + IAT HOOK Tesafe.sys MmIsAddressVaild 对挂钩函数地址进程过滤 2.以上随便一种
利用SEH和INT3实现API HOOK.rar
09-17
利用SEH和INT3实现API HOOK.rar
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
26种对付调试的方法
weixin_34235371的博客
05-15 4505
2019独角兽企业重金招聘Python工程师标准>>> ...
常见动态调试技术总结
lonmar的博客
06-27 2215
软件安全|调试技术|动态调试技术总结
汇编: int 3, ----------->软件中断
dingqiangzhen9665的博客
07-23 451
int 3机器码0cch,是无数人的最爱,你不见VC++不管是链接还是初始化,都用这个 0CCh来填,你不见所有运行在ring3的debug都使用这个0cc来插入你想中断调试的位置,以至在不去掉断点的情况下写盘,在你的代码中会发现这个莫名其妙的0CCh。 int 3不过是一个软件断点中断,你自己就可以任意修改这个中断,在anti-debug中,你可以通过修改这个中断给调试者带来巨大的惊喜...
INT 3 异常调试
weixin_37740119的博客
01-22 928
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
<逆向工程核心原理> 动态调试技术总结
zhangmiaoping23的专栏
03-24 3933
1.异常-SEH #include "stdio.h" #include "windows.h" #include "tchar.h" void AD_BreakPoint() { printf("SEH : BreakPoint\n"); __asm { // install SEH push handler push DWO
lua-int64 如何使用
最新发布
07-23
要在 Lua 中使用 `lua-int64` 库来处理 64 位整数,你需要按照以下步骤进行安装和使用: 1. 首先,你需要安装 `lua-int64` 库。你可以通过 LuaRocks 包管理器来进行安装。在命令行中执行以下命令: ``` luarocks install lua-int64 ``` 2. 安装完成后,你可以在 Lua 脚本中引入 `int64` 模块,使用其中的函数和方法。以下是一个示例代码: ```lua local int64 = require("int64") -- 创建 64 位整数 local value = int64.new(9223372036854775807) -- 最大的 64 位整数 -- 进行算术运算 local sum = int64.add(value, 1) local difference = int64.sub(value, 100) local product = int64.mul(value, 2) local quotient = int64.div(value, 3) -- 转换为字符串 local strValue = int64.tostring(value) -- 打印值 print(strValue) ``` 在上述示例中,我们首先通过 `require` 函数引入了 `int64` 模块。然后,我们使用 `int64.new()` 方法创建一个 64 位整数对象 `value`,并进行了一些算术运算。最后,我们使用 `int64.tostring()` 方法将其转换为字符串,并打印出来。 请注意,在使用 `lua-int64` 库时,你需要遵循该库的具体文档和 API 规范。不同的库可能会有一些差异和特定的用法。因此,建议阅读相关文档以获取更详细的信息和示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值