反调试 - 调试对象

最新推荐文章于 2023-06-21 14:51:46 发布
最新推荐文章于 2023-06-21 14:51:46 发布
阅读量533 收藏 1
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107333287
版权

原理

当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局反调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, * PUNICODE_STRING;
typedef struct _OBJECT_TYPE_INFORMATION {
    UNICODE_STRING TypeName;
    ULONG TotalNumberOfHandles;
    ULONG TotalNumberOfObjects;
}OBJECT_TYPE_INFORMATION, * POBJECT_TYPE_INFORMATION;
typedef struct _OBJECT_ALL_INFORMATION {
    ULONG NumberOfObjects;
    OBJECT_TYPE_INFORMATION ObjectTypeInformation[1];
}OBJECT_ALL_INFORMATION, * POBJECT_ALL_INFORMATION;
typedef enum _OBJECT_INFORMATION_CLASS {
    ObjectBasicInformation,
    ObjectNameInformation,
    ObjectTypeInformation,
    ObjectAllInformation,
    ObjectDataInformation
} OBJECT_INFORMATION_CLASS;
typedef NTSTATUS(WINAPI* pNtQueryObject)(
    HANDLE  Handle,
    OBJECT_INFORMATION_CLASS ObjectInformationClass,
    PVOID ObjectInformation,
    ULONG ObjectInformationLength,
    PULONG ReturnLength
    );

int main()
{
    // 初始化
    ULONG objSize = 0;
    PVOID p_Memory = NULL;
    POBJECT_ALL_INFORMATION p_ObjectAllInfo = NULL;
    PUCHAR p_ObjInfoLocation = NULL;
    POBJECT_TYPE_INFORMATION p_ObjectTypeInfo = NULL;

    // 获取 NtQueryObject 地址
    pNtQueryObject NtQueryObject = (pNtQueryObject)GetProcAddress(LoadLibrary(L"ntdll.dll"),"ZwQueryObject");
    if (NtQueryObject == NULL) {
        goto main_end;
    }

    // 获取调试对象信息大小(返回 C0000004:STATUS_INFO_LENGTH_MISMATCH:信息长度不匹配)
    NtQueryObject(NULL, ObjectAllInformation, &objSize, sizeof(ULONG),&objSize);

    // 分配内存
    p_Memory = VirtualAlloc(NULL, objSize, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    if (p_Memory == NULL) {
        goto main_end;
    }
    
    // 遍历对象信息
    if (NtQueryObject(NULL, ObjectAllInformation, p_Memory, objSize, NULL) != 0) {
        goto main_end;
    }
    p_ObjectAllInfo = (POBJECT_ALL_INFORMATION)p_Memory;
    p_ObjInfoLocation = (PUCHAR)p_ObjectAllInfo->ObjectTypeInformation;
    for (UINT i = 0; i < p_ObjectAllInfo->NumberOfObjects; i++) {
        p_ObjectTypeInfo = (POBJECT_TYPE_INFORMATION)p_ObjInfoLocation;
        if (wcscmp(L"DebugObject", p_ObjectTypeInfo->TypeName.Buffer) == 0) {
            if (p_ObjectTypeInfo->TotalNumberOfObjects > 0) {
                cout << "发现调试器!" << endl;
                break;
            }
            else {
                cout << "没有调试器" << endl;
                break;
            }
        }
        p_ObjInfoLocation = (PUCHAR)p_ObjectTypeInfo->TypeName.Buffer;
        p_ObjInfoLocation += p_ObjectTypeInfo->TypeName.MaximumLength;
        ULONG_PTR tmp = ((ULONG_PTR)p_ObjInfoLocation) & -(int)sizeof(void*);
        if ((ULONG_PTR)tmp != (ULONG_PTR)p_ObjInfoLocation) {
            tmp += sizeof(void*);
        }
        p_ObjInfoLocation = ((unsigned char*)tmp);
    }

main_end:
    if(p_Memory){
        VirtualFree(p_Memory, 0, MEM_RELEASE);
    }
    getchar();
    return 0;
}

效果图

vs调试:
在这里插入图片描述
正常启动:
在这里插入图片描述
x64dbg 调试 calc.exe:
在这里插入图片描述

(-: LYSM :-)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js经验分享 JavaScript调试技巧
10-18
JavaScript调试技术是开发者用来防止他人通过调试工具分析其代码的一种策略,尤其在网络犯罪中,这些技巧被用于隐藏恶意软件的行为。以下是一些关键的JavaScript调试方法: 1. **检测未知的执行环境**:代码...
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 681
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
调试技术总结: 静态
fa1c4的blog
03-24 544
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试检测法, 调试环境检测, 强制隔离调试器等. 破解方
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
调试技术总结(看雪)
eli的博客
12-07 2696
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试技术
最新发布
nareku的博客
06-21 790
思来想去还是先写调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
基于谷歌的调试工具插件
12-27
有些网站会用console来检测是否打开了F12(开发者工具),所以直接hook console 对象 让所有输出失效,已达到过检测的目的。 2、基于pushState的卡浏览器 有些网站会不停的往Chrome缓存里塞东西(多见于sojson和...
易语言源码易语言调试暂停模块源码.rar
03-30
"易语言源码易语言调试暂停模块源码.rar"这个压缩包文件提供的是易语言的一个特定模块——调试暂停模块的源代码。下面我们将详细探讨这个模块的相关知识点。 1. **易语言基础**: 易语言的基础语法结构简单...
调试技术总结,全面
12-03
调试技术总结 调试技术是指在软件或...14. FD_DebugObject_NtQueryObject():检测调试对象的状态。 调试技术是软件保护和DRM(数字版权管理)的重要组成部分,对于保护软件和数字作品的知识产权起着重要作用。
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核调试插件
03-08
等函数绕过调试对象Process-> DebugObject)以及其他关键位置实现调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> ...
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1401
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
26种对付调试的方法
weixin_34235371的博客
05-15 4495
2019独角兽企业重金招聘Python工程师标准>>> ...
调试技术揭秘(转)
freeking101的博客
11-24 580
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。 一、Windows API 方法 Win32 提供了两个 API,IsDebuggerPresent 和 CheckRemoteD...
<逆向工程核心原理> 静态调试技术总结
zhangmiaoping23的专栏
03-23 2603
1.PEB #include "stdio.h" #include "windows.h" #include "tchar.h" void PEB() { HMODULE hMod = NULL; FARPROC pProc = NULL; LPBYTE pTEB = NULL; LPBYTE pPEB = NULL; BOOL bIsDebugging
内核中的_OBJECT_INFORMATION_CLASS 结构
小驹的专栏
11-03 5372
实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO
Object information--CLASS
ShiZhixin的专栏
02-10 906
Object information http://www.sdss3.org/dr8/spectro/catalogs.php Each object has a classification (CLASS) and a redshift determination (Z) with an associated error (Z_ERR). For galaxies, a velocity
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1164
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
常用的静态调试技术及其规避方法
weixin_30460489的博客
03-18 283
静态调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段   已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则不是   当进程被附加时,系统会将该值置为1 IsDebuggerPresent() ...
调试调试学习·1(挖坑)
黑夜黎明
06-19 1778
文章目录个人理解静态调试PEBTEB原始API攻击调试器打开进程检查TLS回调函数使用普通API动态调试使用SEH时间检查单步检查补丁检查汇编偷取代码分页保护壳虚拟机 个人理解   2019.6.19 在汇编面前没有任何程序有秘密(opcode层面做的技巧改动没接触到),调试是打开程序内部乃至程序一切的一把钥匙,调试就是让钥匙失效的一种手段。调试根据破坏调试过程的时间不同整体分为静态...
CVE-2016-4656分析与调试1
08-03
这个函数用于序列化二进制数据到OS对象,而该过程中的错误处理可能导致内存安全问题,进而被恶意利用执行任意代码。Pegasus是一款高度复杂且针对性强的移动设备间谍软件,它能够利用此漏洞对目标iOS设备进行深度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值