反调试 - 调试对象

最新推荐文章于 2023-08-22 21:59:55 发布
最新推荐文章于 2023-08-22 21:59:55 发布
阅读量536 收藏 1
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107333287
版权

原理

当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局反调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, * PUNICODE_STRING;
typedef struct _OBJECT_TYPE_INFORMATION {
    UNICODE_STRING TypeName;
    ULONG TotalNumberOfHandles;
    ULONG TotalNumberOfObjects;
}OBJECT_TYPE_INFORMATION, * POBJECT_TYPE_INFORMATION;
typedef struct _OBJECT_ALL_INFORMATION {
    ULONG NumberOfObjects;
    OBJECT_TYPE_INFORMATION ObjectTypeInformation[1];
}OBJECT_ALL_INFORMATION, * POBJECT_ALL_INFORMATION;
typedef enum _OBJECT_INFORMATION_CLASS {
    ObjectBasicInformation,
    ObjectNameInformation,
    ObjectTypeInformation,
    ObjectAllInformation,
    ObjectDataInformation
} OBJECT_INFORMATION_CLASS;
typedef NTSTATUS(WINAPI* pNtQueryObject)(
    HANDLE  Handle,
    OBJECT_INFORMATION_CLASS ObjectInformationClass,
    PVOID ObjectInformation,
    ULONG ObjectInformationLength,
    PULONG ReturnLength
    );

int main()
{
    // 初始化
    ULONG objSize = 0;
    PVOID p_Memory = NULL;
    POBJECT_ALL_INFORMATION p_ObjectAllInfo = NULL;
    PUCHAR p_ObjInfoLocation = NULL;
    POBJECT_TYPE_INFORMATION p_ObjectTypeInfo = NULL;

    // 获取 NtQueryObject 地址
    pNtQueryObject NtQueryObject = (pNtQueryObject)GetProcAddress(LoadLibrary(L"ntdll.dll"),"ZwQueryObject");
    if (NtQueryObject == NULL) {
        goto main_end;
    }

    // 获取调试对象信息大小(返回 C0000004:STATUS_INFO_LENGTH_MISMATCH:信息长度不匹配)
    NtQueryObject(NULL, ObjectAllInformation, &objSize, sizeof(ULONG),&objSize);

    // 分配内存
    p_Memory = VirtualAlloc(NULL, objSize, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    if (p_Memory == NULL) {
        goto main_end;
    }
    
    // 遍历对象信息
    if (NtQueryObject(NULL, ObjectAllInformation, p_Memory, objSize, NULL) != 0) {
        goto main_end;
    }
    p_ObjectAllInfo = (POBJECT_ALL_INFORMATION)p_Memory;
    p_ObjInfoLocation = (PUCHAR)p_ObjectAllInfo->ObjectTypeInformation;
    for (UINT i = 0; i < p_ObjectAllInfo->NumberOfObjects; i++) {
        p_ObjectTypeInfo = (POBJECT_TYPE_INFORMATION)p_ObjInfoLocation;
        if (wcscmp(L"DebugObject", p_ObjectTypeInfo->TypeName.Buffer) == 0) {
            if (p_ObjectTypeInfo->TotalNumberOfObjects > 0) {
                cout << "发现调试器!" << endl;
                break;
            }
            else {
                cout << "没有调试器" << endl;
                break;
            }
        }
        p_ObjInfoLocation = (PUCHAR)p_ObjectTypeInfo->TypeName.Buffer;
        p_ObjInfoLocation += p_ObjectTypeInfo->TypeName.MaximumLength;
        ULONG_PTR tmp = ((ULONG_PTR)p_ObjInfoLocation) & -(int)sizeof(void*);
        if ((ULONG_PTR)tmp != (ULONG_PTR)p_ObjInfoLocation) {
            tmp += sizeof(void*);
        }
        p_ObjInfoLocation = ((unsigned char*)tmp);
    }

main_end:
    if(p_Memory){
        VirtualFree(p_Memory, 0, MEM_RELEASE);
    }
    getchar();
    return 0;
}

效果图

vs调试:
在这里插入图片描述
正常启动:
在这里插入图片描述
x64dbg 调试 calc.exe:
在这里插入图片描述

(-: LYSM :-)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android代码保护与调试方案
IT从业者,生活精致一点,工作认真一点!
12-21 1208
Android代码保护与调试方案
js经验分享 JavaScript调试技巧
10-18
JavaScript调试技术是开发者用来防止他人通过调试工具分析其代码的一种策略,尤其在网络犯罪中,这些技巧被用于隐藏恶意软件的行为。以下是一些关键的JavaScript调试方法: 1. **检测未知的执行环境**:代码...
调试 - CloseHanlde,NtClose
LYSM
07-05 1109
原理就是调用 CloseHandle 释放一个无效句柄,如果没有被调试,那么函数返回FALSE,GetLastError = ERROR_INVALID_HANDLE;但如果被调试,那么系统将抛出异常 C0000008H。 代码: // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <Windows.h> using namespace std; typed
利用TLS调试
最新发布
qq_43147121的博客
08-22 735
今天说一下利用TLS提供的静态绑定回调函数来调试
r3调试
liuhaidon1992的博客
01-08 2018
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
内核调试
liuhaidon1992的博客
01-08 1317
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
逆向入门-调试
AppWhite_Star的博客
07-30 2154
逆向基础-调试专题
调试调试
cyynid的博客
05-05 1095
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
前端调试初探
前端队长Daotin
06-17 564
任何网页开发者出于对自己网页的保护,都不想自己的前端代码被他人窃取或者抄袭。虽然我们平时都在忙着往代码里面写BUG,但是依然阻止他人对你代码的觊觎。由此,前端调试需求应运而生。在平时的项...
调试 - NtQueryInformationProcessProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 3965
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
基于谷歌的调试工具插件
12-27
有些网站会用console来检测是否打开了F12(开发者工具),所以直接hook console 对象 让所有输出失效,已达到过检测的目的。 2、基于pushState的卡浏览器 有些网站会不停的往Chrome缓存里塞东西(多见于sojson和...
易语言源码易语言调试暂停模块源码.rar
03-30
"易语言源码易语言调试暂停模块源码.rar"这个压缩包文件提供的是易语言的一个特定模块——调试暂停模块的源代码。下面我们将详细探讨这个模块的相关知识点。 1. **易语言基础**: 易语言的基础语法结构简单...
调试技术总结,全面
12-03
调试技术总结 调试技术是指在软件或...14. FD_DebugObject_NtQueryObject():检测调试对象的状态。 调试技术是软件保护和DRM(数字版权管理)的重要组成部分,对于保护软件和数字作品的知识产权起着重要作用。
调试 - SetUnhandledExceptionFilter
LYSM
07-12 5197
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
C++ 调试(NtSetInformationThread)
LYSM
11-20 3317
先上代码: // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <afx.h> #include <tchar.h> #include <afxwin.h> #include <Windows.h> #include <vector> #inclu...
C++ 调试(DbgUiRemoteBreakin)
LYSM
11-19 2691
碰到一个有调试的软件,正常附加这个进程时是会失败的(进程崩溃) 这是因为程序挂钩了 DbgUiRemoteBreakin 这个 API 的原因,打开 PCHunter,查看进程钩子,找到 DbgUiRemoteBreakin 恢复: (恢复后不要忘记刷新下看钩子是否还会自动生成) 再次用调试器附加,发现程序已成功断下: 神兽致敬 = = ...
C++ 调试(ZwSetInformationThread)
LYSM
09-18 2691
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
C++ 调试(NtQueryInformationProcess
LYSM
09-17 2067
关于 NtQueryInformationProcess调试参考这篇文章 没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` )) 首先我们看下之前写的代码(部分): status = NtQueryInformationProcess( GetCurrentProcess(), // 进程句柄 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值