反调试方法---0xCC检测--检验API断点实现反调试

最新推荐文章于 2023-01-07 18:15:00 发布
最新推荐文章于 2023-01-07 18:15:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 反调试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YANG12345_6/article/details/119904884
版权

反调试

0xCC检测

软件断点的原理:调试器在对应设置断点的位置上修改该地址的字节为0xCC。若是关键位置检测到该指令,可以判断进程处于调试状态。

0xCC既可以是INT 3指令,也可以是其他指令的操作数。

API断点

API断点一般下在API的首地址处或函数返回地址处。检查这些易被下端的地址首字节是否为0xCC就可以判断程序是否正在被调试

检验代码(以MessageBoxA函数为例):

#include <Windows.h>
#include<iostream>
using namespace std;
int main() {
	FARPROC addr = GetProcAddress(LoadLibrary(L"user32.dll"), "MessageBoxA");
	byte byteaddr = *(byte*)addr;
	MessageBoxA(NULL, "context", "title", MB_OK);

	if (byteaddr == 0xCC)
	{
		printf("检测到调试");
	}
	else {
		printf("无调试");
	}
	return 0;
}

检验方式(x32dbg中):加载文件–>查看符号–>点击原程序所在的模块–>在调用函数窗口搜索MessageBoxA函数–>下断点。之后进行调试。会输出“检测到调试”

出现的问题:验证MessageBoxW函数时,所用代码:

int main() {
	PBYTE byteaddr = (PBYTE)MessageBoxW;
	MessageBoxW(NULL, L"context", 0, MB_OK);
	if (*byteaddr == 0xCC)
	{
		printf("检测到调试");
	}
	else {
		printf("无调试");
	}
	return 0;
}

在OD里调试时,关键汇编语句:

003C1054 | 803E CC                  | cmp byte ptr ds:[esi],CC  
003C1057 | B9 18213C00              | mov ecx,project1.3C2118 
003C105C | B8 28213C00              | mov eax,project1.3C2128  
003C1061 | 0F44C1                   | cmove eax,ecx       
003C1064 | 50                       | push eax                
003C1065 | E8 A6FFFFFF              | call <project1._printf>

其中,cmove语句的用法:

;如果eax和ebx相等,则会将edx复制到ecx
cmp eax,abx
cmove ecx,edx

;相当于:
cmp eax,ebx
jne skip
	mov ecx,edx
skip:

出问题的点:给MessageBoxW函数下断之后进行调试,调试到下面这个语句(即与0xCC比较)的时候,byte ptr ds:[esi]=8B,并不等于0xCC。按理说 值不等于0xCC,应该返回“未检查到调试”,但是继续调试,打印出来的内容还是检测到调试。

也就是过程上出了问题,但是结果还是正确的。==稍微有点难以接受=。(希望找到解决办法的同学可以指点一二

003C1054 | 803E CC                  | cmp byte ptr ds:[esi],CC  ;[esi] = 8B

把断点去掉,调试,输出的内容是“无调试”。

反反调试:

在需要下断点的API函数的中间部位下断点。

Y0ng.
关注
专栏目录
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点调试、硬件断点与内存断点
杨秀璋的专栏
05-13 9236
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
常见Windows调试手段
Snake_74的博客
06-30 1740
文章目录检测数据结构BeingDebuged(字段检测)检测ProcessHeap属性判断STARTUPINFO信息NtGlobalFlagbypass添加IMAGE_LOAD_CONFIG_DIRECTORY结构API调试NtQueryInformationProcessGetLastError**ZwSetInformationThread**系统痕迹查找调试器引用的注册表项查找窗体信息查找...
字符值为0xcc
11-19 6372
0xcc  16进制数,相当于十进制的204未初始化的变量DEBUG模式下运行时,未初始化的变量会被系统赋初值为0xCC未初始化的变量会被系统赋初值为0xCC,超过了ASCII码0-127这个范围,因此这个“字符串”被系统当成了宽字符组成的字符串,即两个字节数据组成一个字符,而0xCCCC表示的宽字符正好是乱码中的那个“烫”字。烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫是debug中未初始化的栈变量屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯是debug中未初始化的堆变量referen
禁止0xCC断点(最简单的调试手段)
Ez_coder的博客
09-23 513
#include <iostream> #include <windows.h> using namespace std; int main() { FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr = GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); ...
0xcc
suhuaiqiang_janlay的专栏
11-09 3011
堆栈中的局部变量(包括指针)在明确初始化之前都用0x0cc进行初始化。这是编译器在作运行时检测用的,方便发现变量没有初始化、内存溢出的问题。       0xcc执行检测的原理:      (1)变量:如果没有给它初始化,那么值就是0xcc。      (2)指针:或者说内存,初始时赋给地址0xcc。这是一块内核的内存,一般情况下不能被操作的,因此,当发现对地址为0xcc的内存进行操作,就说明是非法的,提示溢出。      0xcc输出成字符就是“烫烫...”,这就是为什么未初始化的内存总显示“
调试技巧总结-原理和实现
weixin_30535843的博客
06-07 427
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
恶意样本分析--16Windows中一些常用的调试记录
LoopherBear的博客
05-25 591
Windows中一些常用的调试记录 这里笔记会记录一些关于Windows中的调试技术的汇编代码,方便后续分析程序时回来查看。调试技术包括 Windows APIs 调用 其他手段检测调试器 Windows APIs IsDebuggerPresent 这个函数主要检测的是PEB的IsDebugged标志,如果返回非零值则表示被调试 CheckRemoteDebuggerPresent 这个函数和IsDebuggerPresent函数一样也是检测PEB->IsDebugged状态值, 不过还可
API函数断点检测int3.rar
03-13
检测API断点方法有多种: 1. **内存扫描**:通过遍历进程内存,查找int3或其他中断指令,特别是在API函数入口处。 2. **API hook检测**:API hook是恶意软件常用的技术,它替换或拦截API调用来改变其行为。检测...
26种对付调试方法
weixin_34235371的博客
05-15 4564
2019独角兽企业重金招聘Python工程师标准>>> ...
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
调试检测函数是否被下断点检测 CC 断点
VI___
05-05 934
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
调试
mslieng1011的博客
11-05 282
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试状态 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
调试 - 硬件断点
墨鱼菜鸡
07-12 213
原理 如果程序设置了硬件断点,则 dr0 - dr7 寄存器的值就会改变,其中 dr0 - dr3 存放硬件断点的地址,dr4 - dr5 保留,dr6 存放调试事件的详细信息,dr7 存放断点触发的条件。 可以使用 ...
CC断点检测
谢绝(无视)留言与私信
02-04 1681
前言以前看过CC断点检测原理. 今天做脱壳练习时, 居然看到cm中有一个fnMessageBox函数中进行了CC断点检测.记录cm中的实际函数00FAF476 <fnMessageBoxEx> 55 push ebp 00FAF477 8BEC mov ebp, esp 00F
android的函数断点调试检测
dzqxwzoe的博客
01-07 163
在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或 被下断点
180312 逆向-调试技术(5)NativeAPI
whklhhhh的博客
04-02 368
1625-5 王子昂 总结《2018年3月12日》 【连续第527天总结】 A. 调试技术(5) B. NativeAPI API的调用过程中,User态和Kernel态的通信仅通过ntdll.dll 换句话说,Win32子系统和兼容的Win16、MSDOS、OS/2等子系统都是通过kernel32.dll或直接调用ntdll.dll的 然后ntdll.dll通过int 0x...
调试总结
weixin_52369224的博客
03-03 651
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
Non-UTF-8 code starting with '\xcc' in file
最新发布
08-27
这个错误通常表示文件中包含了非UTF-8编码的内容。UTF-8是一种常见的字符编码格式,用于表示文本中的字符。如果文件中包含了非UTF-8编码的字符,那么解析该文件时就会出现错误。 要解决这个问题,你可以尝试以下几个步骤: 1. 确保文件是以UTF-8编码保存的。可以使用文本编辑器,比如Sublime Text或Notepad++,将文件另存为UTF-8编码。 2. 如果文件中包含了非UTF-8编码的字符,可以尝试使用专门的工具将其转换为UTF-8编码。例如,你可以使用iconv命令行工具或Python的codecs模块来进行转换。 3. 如果以上方法都无效,你可以尝试手动删除非UTF-8编码的字符。打开文件,并搜索包含非UTF-8编码字符的位置,然后将其删除或替换为有效的UTF-8字符。 记住在进行任何更改之前备份原始文件,以防止不可逆的损坏。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值