网络靶场实战-反调试技术(下)

最新推荐文章于 2025-04-17 16:46:39 发布
最新推荐文章于 2025-04-17 16:46:39 发布
阅读量1k 收藏 15
点赞数 12
分类专栏: 安全开发 安全研究 网络靶场 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/We8__/article/details/137741727
版权
本文详细介绍了Windows系统中的六种反调试技术,包括NtSetInformationThread的ThreadHideFromDebugger、SeDebugPrivilege权限检查、时间差检测、父进程检测、NtYieldExecution的线程切换和DbgUiRemoteBreakin的漏洞利用。这些技术有助于保护程序免受调试和逆向工程攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解反调试技术,当遇到反调试代码时,可以使用相对应的反反调试。在反调试技术上中,我们介绍了9种常见的反调试方法,本篇继续介绍6种方式。

反调试

1.NtSetInformationThread

NtSetInformationThread 是 Windows 操作系统提供的一个函数,用于设置线程的信息,该函数通常用来设置线程的优先级,此外通过设置不同的 ThreadInformationClass 参数,可以实现隐藏线程、禁止调试、设置调试状态等操作,从而增加程序的安全性和防御性,该函数原型与枚举信息如下。

__kernel_entry NTSYSCALLAPI NTSTATUS NtSetInformationThread(
  [in] HANDLE ThreadHandle,
  [in] THREADINFOCLASS ThreadInformationClass,
  [in] PVOID ThreadInformation,
  [in] ULONG ThreadInformationLength
);

typedef enum _THREADINFOCLASS {
  ThreadBasicInformation,
  ThreadTimes,
  ThreadPriority,
  ThreadBasePriority,
  ThreadAffinityMask,
  ThreadImpersonationToken,
  ThreadDescriptorTableEntry,
  ThreadEnableAlignmentFaultFixup,
  ThreadEventPair_Reusable,
  ThreadQuerySetWin32StartAddress,
  ThreadZeroTlsCell,
  ThreadPerformanceCount,
  ThreadAmILastThread,
  ThreadIdealProcessor,
  ThreadPriorityBoost,
  ThreadSetTlsArrayAddress,
  ThreadIsIoPending,
  ThreadHideFromDebugger,
  ThreadBreakOnTermination,
  MaxThreadInfoClass
} THREADINFOCLASS;

NtSetInformationThread通过ThreadInformationClass中ThreadHideFromDebugger来反调试 是 NtSetInformationThread 函数的一个参数,用于将当前线程隐藏起来,使得调试器无法对其进行调试。这个参数的作用是防止调试器附加到被隐藏的线程上进行调试操作。

当线程被隐藏后,调试器无法访问和控制该线程的执行。这可以用作一种

最低0.47元/天 解锁文章
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
防OD附加的代码
闲云野鹤专栏
01-17 1909
bool InstallAntiAttach() { HMODULE ntDll; void *pDbgUiRemoteBreakin; //函数头 DWORD dwOldProtect; DWORD dwCodeSize; ntDll = GetModuleHandle("ntdll.dll"); if (ntDll) { pDbgUiRemoteBreakin = GetP
ntdll!DbgUiRemoteBreakin工作原理
如鹿渴慕泉水的专栏
12-16 1122
0:067> uf ntdll!DbgUiRemoteBreakin ntdll!DbgUiRemoteBreakin: 77a8aed0 6a08 push 8 77a8aed2 684068ae77 push offset ntdll!QueryRegistryValue+0x13d4 (77ae6840) 77a8aed7 e8a4e3fdff call ntdll!_SEH_prolog4 (77a69280) 77a8aedc 64
【第46节】windows程序的其他反调试手段中篇
最新发布
攻城狮7号的博客
04-17 697
在程序反调试领域,存在多种检测调试器的手段。接下来将介绍其他反调试手段中篇,诸如SetUnhandledExceptionFilter/Debugger Interrupts、Trap Flag单步标志异常等一系列其他反调试方法,这些方法通过不同的原理来识别程序是否正被调试,为程序的安全防护提供多维度保障 ,给新手学习带来灵感。
Delphi 提升进程权限到SeDebugPrivilege
编程小战
07-28 2808
众所周知,当我们要结束一个进程时,可以调用WINDOWS API函数TerminateProcess函数。但是,有很多进程依然还是无法结束的,这是因为进程权限不够,这时我们可以给进程提升权限再K掉K不掉的进程。一般进程获取了SeDebugPrivilege权限后都可以杀掉大部分进程了。  //提升进程令牌函数 function AdjustProcessPrivilege(ProcessHand
DbgUiRemoteBreakin反调试
sanqiuai的博客
09-02 2340
DbgUiRemoteBreakin是ntdll提供的用于在目标进程中创建远线程后下软件断点的函数 当我们用OD附加调试时,CreateRemoteThread函数在目标程序中创建了一个远程线程,然后在远程线程中调用DbgUiRemoteBreakin函数,DbgUiRemoteBreakin内部调用了DbgBreakPoint函数,DbgBreakPoint函数内部下了一个int 3断点,触发异常让操作系统运行异常处理程序,然后操作系统把控制权交管给调试器 ps:DbgUiIssueRemoteBreak
恶意软件反检测技术简介:反调试技术解析
移动安全研究和Android/iOS/小程序隐私合规
05-10 4724
本文中,我们将向读者介绍恶意软件用以阻碍对其进行逆向工程的各种反调试技术,以帮助读者很好的理解这些技术,从而能够更有效地对恶意软件进行动态检测和分析。 一、反调试技术 反调试技术是一种常见的反检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器。 1.断点 为了检测其代
C++ 反反调试DbgUiRemoteBreakin
LYSM
11-19 2838
碰到一个有反调试的软件,正常附加这个进程时是会失败的(进程崩溃) 这是因为程序挂钩了 DbgUiRemoteBreakin 这个 API 的原因,打开 PCHunter,查看进程钩子,找到 DbgUiRemoteBreakin 恢复: (恢复后不要忘记刷新下看钩子是否还会自动生成) 再次用调试器附加,发现程序已成功断下: 神兽致敬 = = ...
Windows管理员权限思考
yellow的博客
06-23 2456
进程以管理员权限和非管理员权限运行有很大的特权差别,具体怎么检查当前进程是否以管理员权限运行,代码如下: #include <stdio.h> #include <Windows.h> #include <Sddl.h> int main() { BOOL IsMember; PSID l_pSid=NULL; SID_IDENTIFIER_AUTH...
SeDebugPrivilege
积累点滴,保持自我
04-10 6875
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作, 只要当前进程具有SeDeDebug权限就可以了。 要是一个用户是Administrator或是被给予了相应的权限, 就可以具有该权限。 可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE,     d
网络靶场实战-反调试技术(上)
蛇矛实验室
04-14 1142
反调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解反调试技术,当遇到反调试代码时,可以使用相对应的反反调试
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
反调试技术实例
11-10
反调试技术实例
SeDebugPrivilege检测调试器的软件源码
04-09
SeDebugPrivilege检测调试器喜欢VB的朋友,相信它肯定可以提高编码的效率!
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
杨秀璋的专栏
05-13 9483
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
热门推荐
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
提示进程SeDebugPriviLege权限
hust_wangyajun的专栏
06-23 5372
[code=c/c++] BOOL SetPrivilege() { HANDLE hToken;  TOKEN_PRIVILEGES NewState;  LUID luidPrivilegeLUID;  //获取进程令牌 if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken)|
简单绕过 DbgUiRemoteBreakin 反调试
墨鱼菜鸡
05-04 344
调试器附加到游戏下断点后,会出现以下提示: (OllyDbg 和 x64dbg 的现象应该是游戏闪退) 第一时间想到的就应该是游戏对有关下断的API进行了HOOK,DbgUiRemoteBreakin这个函数内部会调用Db...
靶场实战演练与网络攻防技术教程
本教程强调了靶场(CTF,Capture The Flag)在网络安全培训中的重要性,靶场通常被用于实战演练、渗透测试和攻防对抗等目的。靶场为安全人员提供了一个模拟真实的网络环境,通过构建与实际网络相仿的拓扑结构和部署...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pachimker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值