前言
反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。
0x1探测调试器
使用windows api
使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些api
IsDebuggerPresent
它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中,返回0,否则返回一个非0值。
CheckRemoteDebuggerPresent
与IsDebuggerPresent几乎一样,而且也是检查本机的某一进程中的PEB中的IsDebugged标志,要传一个句柄作为参数,返回值与上一个一样。
RtQueryInformationProcess
Ntdll.dll中的原生态API,用来提取一个给定进程的信息。将参数置为ProcessDebugPort(0x7),就可以返回句柄标识的进程是否在被调试,如果在被调试,返回调试端口,否则返回0。
OutputDebugString
这个函数的作用是在调试器中显示一个字符串。同时也可以具有探测功能。使用SetLastError函数,将当前的错误码设置为任意值,如果进程没有被调试,调用OutputDebugString函数会失败,并且返回错误码,那么错误码就不是我们之前设置的那个任意值了,反之,错误码就不会变。
通常,防止恶意代码使用API进行反调试的最简单方法就是在恶意代码运行期间修改恶意代码,使其不能调用探测函数,或者修改这些探测函数的返回值,相对复杂的方法就是使用Hook函数去影响这些函数。
手动检测数据结构
虽然API探测调试器是简单的一种方法,不过手动检查数据结构是恶意代码最常用的手段。因为很多时候通过API的方法无效。
手动检测中,PEB结构中的一些标志暴露了调试器存在的信息。
PEB结构:
typedef struct _PEB{
BYTE Reserved1[2];
BYTE BeingDebugged;
BYTE Reserved2[1];
BYTE Reserved3[2];
PPEB_LDR_DATA Ldr;
PRTL_USER_PROCES