常见Windows反调试手段

最新推荐文章于 2024-08-10 07:09:00 发布
最新推荐文章于 2024-08-10 07:09:00 发布
阅读量1.7k 收藏 9
点赞数 1
分类专栏: 保护技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Snake_74/article/details/105057161
版权
本文详细介绍了Windows系统中的各种反调试手段,包括检测BeingDebuged字段、ProcessHeap属性、STARTUPINFO信息、NtGlobalFlag,以及API反调试、系统痕迹检测、识别调试器行为等。同时,文章讨论了如何通过修改数据结构、利用中断和异常来干扰调试器,并提到了一些常见的调试器漏洞和插件。
摘要由CSDN通过智能技术生成

文章目录

检测数据结构

BeingDebuged(字段检测)

被调试时,BeingDebuged字段的值为1,否则为0

汇编码:

mov eax,fs:[0x30]
mov eax,byte ptr[eax+0x2]

API IsDebuggerPresent
被调试时,返回值为非零

int main()
{
   
    if (IsDebuggerPresent())
    {
   
        std::cout << "Stop debugging program!" << std::endl;
        exit(-1);
    }
    return 0;
}

API CheckRemoteDebuggerPresent
IsDebuggerPresent功能一致

对于X64进程

KERNELBASE!IsDebuggerPresent:
00007ffc`ab6c1aa0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffc`ab6c1aa9 0fb64002           movzx eax,byte ptr [rax+2]
00007ffc`ab6c1aad c3                 ret

破解方法:
通过在检查代码执行之前,将eingDebugged设置为0,可以使用dll注入来完成

mov eax, dword ptr fs:[
最低0.47元/天 解锁文章
Haessen
关注
专栏目录
逆向学习笔记(4)——动态调试技术
谈成(C/C++)
04-12 932
1.SEH异常处理 windows中存在许多的异常处理类型,如下: EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) 断点异常 EXCEPTION_SINGLE_STEP (0x80000004) 单步执行 EXCEPTION_ACCESS_VIOLATION (0x8000000
x32dbg插件之strongOD(又名SharpOD)
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
12-26 306
x32dbg插件之strongOD(又名SharpOD) 这个是论坛大神,仿strongOD功能的后续之作 强力过强壳检测
windows调试
最新发布
zhangyihu321的专栏
08-10 962
1. 检测是否正在被调试(使用 IsDebuggerPresent API):```cpp// 检测到调试器,执行相应操作// 或者其他操作```2. 使用 NtQueryInformationProcess 检测调试器:```cpp```3. 检查调试端口:```cpp= FALSE;```4. 使用异常处理来检测调试器:```cpp__try?
【逆向基础】三、x32dbg使用技巧随记
幸福之家的博客
04-07 5099
对于出入C/C++逆向领域的小伙伴,熟练使用x32dbg,x64dbg是很有必要的;本文章简单介绍了工具的使用情况,供大家一起学习;
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2731
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
由一道CTF对10种调试的探究
0xDQ的博客
04-23 2002
0x00 前言 最近做的有些ctf中总是出现一些动态调试的情况。由次对一些常见动态调试进行一些总结。 参考文章: https://blog.csdn.net/hgy413/article/details/7996652https://blog.csdn.net/yiyefangzhou24/article/details/6242459https://www.52pojie.cn/th...
Windows平台的x64dbg插件合集
$firecat利白的代码足迹$
11-02 1万+
1、x64dbg软件官网 GitHub - x64dbg/x64dbg: An open-source x64/x32 debugger for windows. x64dbg - Browse Files at SourceForge.net 2、x64dbg插件官网 Plugins · x64dbg/x64dbg Wiki · GitHub插件清单 PluginManager/list.json at master · x64dbg/PluginManager · GitHub插件清单..
几种常见调试方法
hambaga的博客
03-08 1405
#include <Windows.h> #include <stdio.h> BOOL IsDebug1() { return IsDebuggerPresent(); } BOOL IsDebug2() { HANDLE hProcess = GetCurrentProcess(); BOOL bDebug; if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug)) { return TRUE; }
windows 调试
05-16
Windows调试是指一种技术手段,用于防止黑客或者其他人对应用程序进行调试,从而保护程序的安全性。调试技术可以通过检测调试器的存在或者修改调试器的行为来达到防御的目的。 常见调试技术包括以下几种: ...
Visual Studio高效调试手段调试技巧总结
dvlinker的技术专栏
05-03 2万+
Visual Studio高效调试手段调试技巧总结。
GoodDbg破解版
02-17
GoodDbg破解版 GoodDbg调试器 VT调试器 过所有驱动保护
Ollydbg郁金香插件加强版
08-17
Ollydbg郁金香插件加强版 DIY加强集工具.
ScyllaHide-vs13调试插件
04-19
ScyllaHide是一个高级的开源x64/x86用户模式Anti-Anti-Debug库。 它hook用户模式(ring3)中的各种函数以隐藏调试。 此工具旨在保留在用户模式(ring3)中。 如果您需要内核模式(ring0)Anti-Anti-Debug,请参阅TitanHide。 ScyllaHide在用户模式中尽可能隐蔽,目标是不干扰任何其他功能。
Closehandle调试实战
weixin_37740119的博客
01-23 625
测试两个代码查看closehandle应用的具体情形: #include "stdio.h" #include "windows.h" #include "tchar.h" #include <iostream> using namespace std; BOOL CheckDebug() { __try { CloseHandle((HANDLE)0x1234); } __except(1) { cout ...
解决进程结束Process finished with exit code 1的问题
热门推荐
snow__mei的博客
12-14 9万+
今天下载了别人的一份代码,跑起来的时候出现了下面结果。 Process finished with exit code 1 通常情况下我们知道代码返回0是正常运行结束,而返回-1是错误结束,因此返回1且不报错的情况极少,但确实没有正常运行。 漫长的debug路程。。。 1、通过将中的Exception改为Throwable,然后debug,查看是否能显示报错。 try{ //你的代码 }catch (Exception e) { e.printStackTrace(); Log.printLi
调试插件
a815064247的博客
03-22 2255
https://github.com/x64dbg/ScyllaHide/releases/tag/snapshotScyllaHide_2017-10-28_01-27PhantOm plugin 1.79https://bbs.pediy.com/thread-163784.htm
多文件程序X32dbg动态调试
qq_20031585的博客
06-26 2241
当要分析的程序,调用到DLL(或.OCX)时,程序不再是单一程序,想要知道主程序调用了哪些动态库DLL和控件,可以使用x32dbg的“模块”功能查看主程序加载过程。
Xctf Reverse菜鸟题解之csaw2013reversing2
weixin_44007261的博客
10-20 299
Xctf Reverse菜鸟题解之csaw2013reversing2IDA Pro静态分析x32dbg动态调试分析绕过调试机制 IDA Pro静态分析 x32dbg动态调试分析 绕过调试机制 做了Xctf上的一道新手题,感觉坑不少,遂把自己的思路和步骤发上来分享一波,本人逆向菜鸟一只,大佬轻喷。 首先进入题目界面,看到简介上说,直接运行就可以拿到flag 我们先看一下文件的一些信息: 可以看到是windows下32位pe文件,我这里用wine先跑了一下,结果是一堆乱码: 这里可以看到这个mess
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值