反调试学习

最新推荐文章于 2022-09-22 09:01:24 发布
最新推荐文章于 2022-09-22 09:01:24 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 点点滴滴 加密解密 文章标签: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chence19871/article/details/45645597
版权

1. INT 2D

INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因在于,执行完INT 2D后,原有的代码字节顺序被打乱了,也就是说,若指令在程序执行过程中改变,则程序不能单步暂停,而是一直执行,可以将其视为一种bug。 (以上只是INT 2D指令在OD调试中的表现,其他调试器中略有不同)


2. 陷阱标记

TF 值设置为1时,CPU将进入单步执行模式。单步执行模式中,CPU执行完一条指令后出发一个EXCEPTION_SINGLE_STEP异常,然后将陷阱标记自动清零。该EXCEPTION_SINGLE_STEP异常可以与SEH技法结合,在反调试技术中用于探测调试器。


因无法直接修改EFLAGS寄存器的值,故使用PUSHFD/POPFD指令与or指令修改陷阱标识的值。在调试的情况下不会执行SEH回调。而正常运行则执行。

修改OD的调试选项,忽略(EXCEPTION_SINGLE_STEP异常),让程序来处理异常。


`北极星
关注
专栏目录
安卓调试-解决方案一
06-22
在安卓开发中,为了保护应用的安全性和防止恶意篡改,开发者常常会采取调试技术。本文将深入探讨“安卓调试-解决方案一”,这个主题主要关注如何通过定时检测应用程序是否处于调试状态,如果检测到被调试,则...
逆向学习笔记(4)——动态调试技术
谈成(C/C++)
04-12 915
1.SEH异常处理 windows中存在许多的异常处理类型,如下: EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) 断点异常 EXCEPTION_SINGLE_STEP (0x80000004) 单步执行 EXCEPTION_ACCESS_VIOLATION (0x8000000
Windows软件调试学习笔记(七)—— 单步步入&单步步过
qq_41988448的博客
08-11 2157
软件调试学习笔记(七)—— 单步步入&单步步过单步步入设置单步异常处理单步异常实验1:单步异常的设置与处理单步步过实现思路实验2:实现单步步过 单步步入 描述: 单步步入的实现依赖于单步异常。 当我们需要观察每一行代码(包括函数内部的代码)执行之后寄存器与内存的变化,通常会采用单步步入。 当使用单步步入时,可采用在下一行代码的首字节设置INT 3断点的方式实现。 CPU为我们提供了一种更为方便的方法,即使用陷阱标志位(TF位)。 设置单步异常 TF位:置1 处理单步异常 单步产生的异常与硬件断
调试 - int 2dh , int 3h
墨鱼菜鸡
07-12 253
原理 第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。 如果...
C/C++ 程序调试的方法
CSDN
08-18 6044
C/C++ 要实现程序调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测调试,MapFileAndCheckSum,等都可实现调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
在编程世界中,调试是软件开发过程中的关键环节,它帮助开发者识别并修复代码中的错误。然而,有些恶意软件或程序作者为了防止他们的...对于任何对软件安全或逆向工程感兴趣的开发者,深入学习调试技术都是必要的。
易语言SEH调试
07-21
总之,易语言SEH调试技术是保护程序安全的重要手段,通过学习其源码,开发者不仅可以了解如何在易语言环境下实施调试,还能深入理解Windows操作系统中的异常处理机制,这对于提升安全编程技能和防止代码被逆向...
一个OD补丁用来调试
最新发布
03-16
6. **学习与研究**:通过这个过程,你可以深入学习调试技术和逆向工程,了解软件如何检测和应对调试,以及如何编写或使用调试策略。 在实际操作中,了解和掌握这些知识不仅可以提升你在逆向工程领域的技能,...
易语言-调试模块易语言
06-29
易语言是一种基于中文编程的计算机程序设计语言,旨在降低编程技术门槛,让更多人能接触和学习编程。...对于想要在易语言中实现安全防护或有兴趣了解调试策略的人来说,这是一个非常有价值的学习资源。
SEH异常处理机制
谈成(C/C++)
04-12 1849
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
C语言实现基于单步调试
毕业作品网站
09-22 531
主进程通过创建远程进程来进行调试设置 eFlag 寄存器中的 tf 标志位,使程序执行一条指令后,产生单步执行异常。在异常处理过程中,记录程序执行时所有数据(每一步的 EIP、八个寄存器的值等)。
冬天OS(六):中断
Jack Zheng's Blog
11-30 322
-------------------------------------------------------- 初始化 8259A -------------------------------------------------------- 上一节我们编写了 Makefile ,享受到了 Makefile 带给我们的便利,这节我们乘着 make 的便利来设置中断... 一,in...
调试】去除各种调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
简单绕过 DbgUiRemoteBreakin 调试
LYSM
05-04 4529
调试器附加到游戏下断点后,会出现以下提示: (OllyDbg 和 x64dbg 的现象应该是游戏闪退) 第一时间想到的就应该是游戏对有关下断的API进行了HOOK,DbgUiRemoteBreakin这个函数内部会调用DbgBreakPoint执行断点指令,以触发断点异常,强制把程序断了下来: 我们用CE查看这个函数的头部,发现他跳转到了游戏检测模块的地址: 来到这个后我们发现他调用了Exi...
逆向知识点
qq_42021840的博客
01-18 973
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2224
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
调试总结
zhuhuibeishadiao
04-04 5268
TP:3种方法适用于win7 x64 ~ win10 一:1.恢复调试权限 2.结束11号线程 3.恢复所有线程 二:秒杀TP方法:CE使用VEH模式 结束11号线程 三:手动过TP:先于TX游戏运行OD,结束11号线程 直接附加进程 x86方法: 1.以上随便一种 + IAT HOOK Tesafe.sys MmIsAddressVaild 对挂钩函数地址进程过滤 2.以上随便一种
调试技术详解与实战
"这篇文档是唐久涛关于调试技术的总结,主要涵盖了多种检查和...整体来看,这篇文档为学习和研究调试技术提供了丰富的参考资料,包括理论知识和实践案例,对于软件安全领域和逆向工程的爱好者具有很高的学习价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值