反调试 - TrapFlag

最新推荐文章于 2023-06-21 14:51:46 发布
最新推荐文章于 2023-06-21 14:51:46 发布
阅读量899 收藏
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107313431
版权

原理

TrapFlag(陷阱标志位)。这种反调试手段属于异常的范畴,通过设置 eflags 寄存器的值来触发某个异常,当存在调试器时这个异常由调试器接管(不走我们 的异常处理回调函数),但调试器也可以选择不接管这个异常,所以这属于一种低级的反调试手段 🙃。

代码(以单步异常为例)

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

BOOL isDebugger = TRUE;

// 我们的异常回调处理函数
LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo) {
    isDebugger = FALSE;

    // 如果这个异常属于单步异常
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) {
        // 因为单步异常属于陷阱异常,中断完成后要回到产生异常的下一条指令(否则会一直产生单步异常陷入死循环)
#ifdef _WIN64
        ExceptionInfo->ContextRecord->Rip++;
#else
        ExceptionInfo->ContextRecord->Eip++;
#endif
        // 忽略异常继续执行
        return EXCEPTION_CONTINUE_EXECUTION;
    }

    // 继续向上一层 seh 查找异常处理方式
    return EXCEPTION_CONTINUE_SEARCH;
}

int main()
{
    // 注册 veh
    PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);

    // 读取 EFLAGS 寄存器的值
#ifdef _WIN64
    UINT64 eflags = __readeflags();
#else
    UINT eflags = __readeflags();
#endif

    // 修改 EFLAGES 寄存器的值
    eflags |= 0x100;
    __writeeflags(eflags);

    // 删除 veh
    RemoveVectoredExceptionHandler(Handle);

    // 判断调试器
    if (isDebugger == TRUE) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }

    getchar();
    return 0;
}

效果图

vs启动(需要单步执行才能触发检测):
在这里插入图片描述

正常启动:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1166
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
调试手段 源码加注释
05-05
十几种调试方法+源码+注释
调试手段
weixin_30391339的博客
11-20 140
调用函数检测方式 ---------------------------------------------------- IsDebuggerPresent(检测本进程) 检查进程环境块(PEB)中IsDebugged标志 如果没有被调试就返回0,如果调试附加了进程,函数返回非零值 CheckRemoteDebuggerPresent(检测其他进程) 这个函数和上面的函数检测的...
软件调试之陷阱标志
maomao171314的专栏
11-19 1467
陷阱标志 IA-32处理器支持的调试陷阱标志共有3种。 1. 8086支持的单步执行标志(EFLAGS的TF位)。 2. 386引入的任务状态陷阱标志(TSS的T标志)。 3. 奔腾Pro引入的分支到分支单步执行标志(DebugCtl寄存器种的BTF标志)。 1.单步执行标志 标志寄存器(FLAGS)的TF(Trap Flag)位。当TF为1时,CPU每执行完一条指令便会产生一个调试异常(#DB),中断到调试异常处理程序,调试器的单步执行功能大多是依靠这一机制来实现的。 调试异常的向量号是1,
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 340
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
安卓调试-解决方案一
06-22
本文将深入探讨“安卓调试-解决方案一”,这个主题主要关注如何通过定时检测应用程序是否处于调试状态,如果检测到被调试,则退出程序。我们将基于描述中提到的“尼古拉斯.赵四”大师的博客内容进行解析,虽然具体...
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
调试模块-易语言
06-13
调试模块-易语言
调试技术
最新发布
nareku的博客
06-21 802
思来想去还是先写调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
.NET下的终极调试
12-23
.NET下的终极调试
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1427
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
调试主要方法简述
bilibili的博客
09-25 1168
调试的笔记
几种常见的调试方法
hambaga的博客
03-08 1373
#include <Windows.h> #include <stdio.h> BOOL IsDebug1() { return IsDebuggerPresent(); } BOOL IsDebug2() { HANDLE hProcess = GetCurrentProcess(); BOOL bDebug; if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug)) { return TRUE; }
回调函数
lin200753的专栏
05-27 613
回调函数,就是,把被调用函数(回调函数)的地址作为调用者函数的一个参数,从而在适当的条件下可以执行它.如信号处理函数,我们先定义一个信息处理函数,然后注册这个函数,在信号发生时就会执行回调函数.(自己总结) 回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数。回调函数不是由该函数的实现方直接调用,
Virtualbox源码分析19 Trap Monitor
qq_29684547的博客
02-08 450
TRPM - The Trap Monitor (陷阱监视器)负责管理和向虚拟机内发送中断。 19.1 初始化API等 TRPMCPU 每个VCPU都一个的结构体TRPMCPU,保存了发送给当前VCPU的中断信息,当TRPMCPU里有active的中断信息的时候,进入GuestOS之前需要发送这个中断信息到GuestOS里 typedef struct TRPMCPU { //中断LVT ...
调试技术二
weixin_34143774的博客
05-31 474
五、使用NtQueryInformationProcess函数 NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下:   // 声明...
Windows 下常见的调试方法
r250414958的博客
11-15 1159
稍稍总结一下在Crack或Rervese中比较常见的一些调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。 ①最简单也是最基础的,Windows提供的API接口: IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。 if (IsDebuggerPresent()) //API接口 { ...
【游戏保护】监视内存页(基址 关键数据)非法访问
qazxswpanzer的博客
07-17 1272
原理:对内存页面设置PAGE_NOACCESS保护 当程序内访问改页面内数据时产生ACCESS_VIOLATION 产生异常被VEH捕获 VEH处理函数内还原内存页面PAGE_READWRITE属性 然后设置ExceptionInfo->ContextRecord->EFlags |= 0x100 单步异常 返回EXCEPTION_CONTINUE_EXECUTION 程序再次执行 触发单步异常 单步异常处理内再次对内存页面设置PAGE_NOACCESS 等待下次异常访问 用途:检测非法模块 内
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值