检查进程是否被调试

最新推荐文章于 2021-12-01 11:52:59 发布
最新推荐文章于 2021-12-01 11:52:59 发布
阅读量827 收藏 8
点赞数
文章标签: 操作系统 c/c++
原文链接:http://www.cnblogs.com/priarieNew/p/9756080.html
版权

转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html

在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。
 
一、Windows API方法
 
Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否正在被调试,以IsDebuggerPresent函数为例,例子如下:
 
BOOL ret = IsDebuggerPresent();
printf("ret = %d\n", ret);
 
破解方法很简单,就是在系统里将这两个函数hook掉,让这两个函数一直返回false就可以了,网上有很多做hook API工作的工具,也有很多工具源代码是开放的,所以这里就不细谈了。
 
 
二、查询进程PEB的BeingDebugged标志位
 
当进程被调试器所附加的时候,操作系统会自动设置这个标志位,因此在程序里定期查询这个标志位就可以了,例子如下:
 
bool PebIsDebuggedApproach()
{
       char result = 0;
       __asm
       {
// 进程的PEB地址放在fs这个寄存器位置上
              mov eax, fs:[30h]
// 查询BeingDebugged标志位
              mov al, BYTE PTR [eax + 2] 
              mov result, al
       }
 
       return result != 0;
}
 
 
三、查询进程PEB的NtGlobal标志位 
 
跟第二个方法一样,当进程被调试的时候,操作系统除了修改BeingDebugged这个标志位以外,还会修改其他几个地方,其中NtDll中一些控制堆(Heap)操作的函数的标志位就会被修改,因此也可以查询这个标志位,例子如下:
 
bool PebNtGlobalFlagsApproach()
{
       int result = 0;
 
       __asm
       {
  // 进程的PEB
              mov eax, fs:[30h]
  // 控制堆操作函数的工作方式的标志位
              mov eax, [eax + 68h]
  // 操作系统会加上这些标志位FLG_HEAP_ENABLE_TAIL_CHECK, 
  // FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS,
  // 它们的并集就是x70
  //
  // 下面的代码相当于C/C++的
  //     eax = eax & 0x70
              and eax, 0x70
              mov result, eax
       }
 
       return result != 0;
}
 
 
四、查询进程堆的一些标志位
 
这个方法是第三个方法的变种,只要进程被调试,进程在堆上分配的内存,在分配 的堆的头信息里,ForceFlags这个标志位会被修改,因此可以通过判断这个标志位的方式来反调试。因为进程可以有很多的堆,因此只要检查任意一个堆 的头信息就可以了,所以这个方法貌似很强大,例子如下:
 
bool HeapFlagsApproach()
{
       int result = 0;
 
       __asm
       {
      // 进程的PEB
              mov eax, fs:[30h]
      // 进程的堆,我们随便访问了一个堆,下面是默认的堆
              mov eax, [eax + 18h]
  // 检查ForceFlag标志位,在没有被调试的情况下应该是
              mov eax, [eax + 10h]
              mov result, eax
       }
 
       return result != 0;
}
 
 
五、使用NtQueryInformationProcess函数
 
NtQueryInformationProcess函数是一个未公开的 API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因 此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下:
 
// 声明一个函数指针。
typedef NTSTATUS (WINAPI *NtQueryInformationProcessPtr)(
       HANDLE processHandle,
       PROCESSINFOCLASS processInformationClass,
       PVOID processInformation,
       ULONG processInformationLength,
       PULONG returnLength);
 
bool NtQueryInformationProcessApproach()
{
       int debugPort = 0;
       HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));
       NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");
       if ( NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7, &debugPort, sizeof(debugPort), NULL) )
              printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess failed\n");
       else
              return debugPort == -1;
 
       return false;
}
 
 
六、NtSetInformationThread方法
 
这个也是使用Windows的一个未公开函数的方法,你可以在当前线程里调用 NtSetInformationThread,调用这个函数时,如果在第二个参数里指定0x11这个值(意思是 ThreadHideFromDebugger),等于告诉操作系统,将所有附加的调试器统统取消掉。示例代码:
 
// 声明一个函数指针。
typedef NTSTATUS (*NtSetInformationThreadPtr)(HANDLE threadHandle,
       THREADINFOCLASS threadInformationClass,
       PVOID threadInformation,
       ULONG threadInformationLength);
 
void NtSetInformationThreadApproach()
{
      HMODULE hModule = LoadLibrary(TEXT("ntdll.dll"));
      NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hModule, "NtSetInformationThread");
    
      NtSetInformationThread(GetCurrentThread(), (THREADINFOCLASS)0x11, 0, 0);
}
 
 
七、触发异常的方法
 
这个技术的原理是,首先,进程使用 SetUnhandledExceptionFilter函数注册一个未处理异常处理函数A,如果进程没有被调试的话,那么触发一个未处理异常,会导致操 作系统将控制权交给先前注册的函数A;而如果进程被调试的话,那么这个未处理异常会被调试器捕捉,这样我们的函数A就没有机会运行了。
 
这里有一个技巧,就是触发未处理异常的时候,如果跳转回原来代码继续执行,而 不是让操作系统关闭进程。方案是在函数A里修改eip的值,因为在函数A的参数_EXCEPTION_POINTERS里,会保存当时触发异常的指令地 址,所以在函数A里根据这个指令地址修改寄存器eip的值就可以了,示例代码如下:
 
// 进程要注册的未处理异常处理程序A
LONG WINAPI MyUnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei)
{
       SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)
              pei->ContextRecord->Eax);
       // 修改寄存器eip的值
       pei->ContextRecord->Eip += 2;
       // 告诉操作系统,继续执行进程剩余的指令(指令保存在eip里),而不是关闭进程
       return EXCEPTION_CONTINUE_EXECUTION;
}
 
bool UnhandledExceptionFilterApproach()
{
       SetUnhandledExceptionFilter(MyUnhandledExceptionFilter);
       __asm
       {
              // 将eax清零
              xor eax, eax
              // 触发一个除零异常
              div eax
       }
 
       return false;
}
 
八、调用DeleteFiber函数
 
如果给DeleteFiber函数传递一个无效的参数的 话,DeleteFiber函数除了会抛出一个异常以外,还是将进程的LastError值设置为具体出错原因的代号。然而,如果进程正在被调试的话,这 个LastError值会被修改,因此如果调试器绕过了第七步里讲的反调试技术的话,我们还可以通过验证LastError值是不是被修改过来检测调试器 的存在,示例代码:
 
bool DeleteFiberApproach()
{
       char fib[1024] = {0};
       // 会抛出一个异常并被调试器捕获
       DeleteFiber(fib);
 
       // 0x57的意思是ERROR_INVALID_PARAMETER
       return (GetLastError() != 0x57);
}

转载于:https://www.cnblogs.com/priarieNew/p/9756080.html

as1406131
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Window API和未公开的函数
11-18
Undocumented Windows NT 中文版 windows API 中文版 未公开的Windows API函数
linux进程监控shell脚本代码
09-15
`保存最后运行的后台命令的PID(进程ID),然后将其写入文件`receve.sid`,以便后续检查进程是否还在运行。同时,使用`/bin/ps`、`/bin/grep` 和 `/bin/awk` 命令组合查找并获取进程ID。 5. **Crontab定时任务**: ...
C++ 源码常量加密,防逆向破解小技巧
qq_31314583的博客
12-01 3768
写在前面 做为个一个c++的搬砖猿,我很早之前就有一个想法。企图在c++代码编译时能够部分干预C++的编译过程,比如类似宏一样的行为,或者模板类的行为。在编译时才存在的一些代码或信息。而c++14 则提供了这样的特性。 实际效果 代码如下: int main() { printf("%s\r\n", ET("1234567890")); printf("%s\r\n", ("9876543210")); system("pause"); } ...
C/C++ 程序反调试的方法
CSDN
08-18 5937
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
c++反汇编与逆向分析技术揭秘_使用IDA pro逆向ARM M系核心的Bin固件
weixin_39616798的博客
11-21 640
物联网和智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题。要不然是根本拿不到固件,要不然是拿到了Bin之后看不懂,这篇文章带大家手把手调教IDA pro,让他逆向无符号的Bin文件。一、意义先说一下逆向固件的意义把,一般来说,这种小东西都会和外界有交互,蓝牙,WIFI,网络,4G,zigbee等等,...
C++调试(NtSetInformationThread)
LYSM
11-20 3287
先上代码: // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <afx.h> #include <tchar.h> #include <afxwin.h> #include <Windows.h> #include <vector> #inclu...
catsight:跨平台进程内存检查
04-01
Catsight 受x64dbg启发的跨平台进程内存查看器。特征跨平台(当前在Linux和Windows上运行)。 附加到系统用户有权访问的任何进程。...)它在设计时没有考虑调试的问题,它只是一个进程内存查看器。
IP-Guard获取进程调试信息for Windbg.docx
11-28
下面是详细的获取进程调试信息的步骤: 1. **下载调试工具**:首先,你需要从微软的符号服务器下载调试工具包,这里提供的链接是dbg_x86_6.11.1.404.msi,这包含了Windbg在内的调试工具。 2. **安装调试程序**:在...
使用x64dbg调试dll程序
06-25
如果Lab01-01.dll或Lab03-02.dll没有出现在列表中,可能需要检查是否正确设置了命令行参数,或者是否正确加载了rundll32.exe。 此外,了解DLL的启动方式也是关键。DLL并不像可执行文件那样直接启动,而是通过宿主...
APUE笔记之:进程环境详解
09-05
`setenv()`函数提供了一个更安全的方式设置环境变量,因为它可以检查是否已经存在同名变量并根据参数决定是否覆盖。与`putenv()`不同,`setenv()`会为新环境变量分配内存,避免了潜在的栈溢出问题。`unsetenv()`函数...
如何防止软件被破解
zhangke的专栏
02-09 3761
如何防止软件被破解         1.注册的加密算法越复杂好,这样就不会很容易地被写出注册机。     2.即使加密算法很复杂,但对于破解高手来说,爆破也很容易。要防止被爆破,就要在程序运行的过程中,经常检测主程序的精确大小,或主程序中某个位置是否是固定字符,如果不对就退出程序。当然主程序要用aspack等软件压缩,检测的也是压缩后的程序大小。     3.不要用明文比较的方法比较注册码!否则,
软件安全防破解之字符串加密,提高破解难度让你的软件不再轻易被山寨
02-09 5370
原文:http://bbs.84zcb.com/showtopic-3430.aspx   大家知道提示框和字符串是新手破解的关系,如果我们能将敏感的字符串进行加密传输,那么就可以杜绝90%以上的破解新手。下面以注册宝的安全码和软件编号几种不同的加密方法对比防山寨效果(易语言为例,其他语言类似) 明文未加密写法   .版本 2 ' ''''''''''''''''''''''''''...
Unity3D应用防外挂与防破解
热门推荐
夜风的BLOG
09-28 1万+
在我们的Unity3D游戏开发过程中,我做了一些防外挂与防破解工作,主要是随机数校验,内存加密和C#脚本加密。
简单的加密与解密的实现---仿射密码(c++使用string)
weixin_33804582的博客
11-28 1252
使用c++中string类,相比于使用数组,没有了数组长度的限制,而且操作跟加的方便 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47...
C++大神五分钟破解RSA加密算法,看完我是五体投地的拜服!
07-09 5000
RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用RSA加密的信息的可靠性就肯定会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的RSA钥匙才可能被强力方式解破。 VC++中的RAS加密、解密算法示例...
逆向分析最常用的有三种方法是什么?怎样防止反编译?
qq_33777090的博客
03-13 2828
网络分析通过分析和篡改接口数据,可以有效的破解通过接口数据来控制客户端行为的app,常用的抓包工具有Tcpdump, WireShark, Charles等,windows平台有fidller静态分析通过砸壳、反汇编、classdump头文件等技术来分析app行为,通过这种方式可以有效的分析出app实用的一些第三方库,甚至分析出app的架构等内容,常用的工具有dumpdecrypted(砸壳)、h...
C++ 反反调试(PEB)
LYSM
09-10 838
PEB 反调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 _PEB 结构体中的位置,可以发现 01、70 这两个标志(注意这里 main函数还没开始运行,所以程序不会退出,只有当你第一次点击 “运行” 时才会执行到 main,检测代码才会有...
ce调试不了进程改怎么处理
最新发布
09-05
### 回答1: 如果您无法使用 `ce` 调试进程,您可以尝试以下方法解决问题: 1. 确保您已经安装了最新版本的 `ce`。 2. 确保您已经在运行游戏时激活了 `ce`。 3. 尝试重新启动游戏或电脑,看看能不能解决问题。 4. 如果您在使用游戏修改器或其他软件时遇到了问题,尝试暂时卸载这些软件,看看能不能解决问题。 5. 尝试清空 `ce` 的缓存。 6. 如果以上方法都无效,您可以尝试在论坛或者其他在线社区寻求帮助,也可以联系 `ce` 的技术支持团队。 ### 回答2: 在调试过程中遇到CE(Cannot Execute)错误时,表示调试器无法执行正在运行的进程。解决这个问题的方法有以下几个步骤: 1. 检查进程是否已经结束:首先,确认要调试进程是否真的已经开始执行并且还在运行中。有时候,进程可能会在启动后立即退出,导致调试器无法连接。 2. 检查调试器与进程的架构是否匹配:程序与调试器之间的架构必须匹配,否则会导致CE错误。确保选择的调试器与正在调试进程的架构(例如32位或64位)一致。 3. 检查进程是否正在被其他调试器所调试:在某些情况下,一个进程只能被一个调试调试。尝试关闭其他正在运行的调试器或者终止正在调试进程,然后再重新启动。 4. 确保调试器拥有足够的访问权限:如果调试器没有足够的权限来调试进程,也可能导致CE错误。请尝试以管理员身份运行调试器,或者更改进程的访问权限。 5. 检查调试器设置:有时候,调试器的一些设置可能会导致CE错误。重新检查调试器的设置,确保没有配置错误或与其他调试器冲突。 总结来说,在处理CE调试错误时,需要确保进程正在运行中,调试器与进程的架构匹配,没有其他调试器干扰,并且拥有足够的访问权限。若问题仍然存在,可以尝试使用其他调试器或者参考相关文档或论坛来获取更多帮助和解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值