IsDebuggerPresent解密

最新推荐文章于 2023-08-23 15:58:02 发布
最新推荐文章于 2023-08-23 15:58:02 发布
阅读量1.7k 收藏
点赞数
分类专栏: 加密解密 文章标签: byte 解密 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chence19871/article/details/7550648
版权

看看IsDebuggerPresent函数的秘密:

7C812E03 >  64:A1 18000000           mov     eax, dword ptr fs:[18]
//指向TEB自身,也就是FS
7C812E09    8B40 30                  mov     eax, dword ptr [eax+30]
//指向PEB
7C812E0C    0FB640 02                movzx   eax, byte ptr [eax+2]
//PEB前进两个字节取Byte
7C812E10    C3                       retn

先取FS:[18]处的指针,跟进,找到偏移为30h处的指针,再跟进,然后移动两个字节就可以看到IsDebuggerPresent标记了。为1表示当前程序处于调试状态,为0表示NOT.这样我们就可以手动修改内存了,哈哈

 简化代码:

__asm
  {
    mov eax, fs:[30h] ;EAX =  TEB.ProcessEnvironmentBlock
    inc eax
    inc eax
    mov eax, [eax]
    and eax,0x000000ff  ;AL  =  PEB.BeingDebugged
    test eax, eax
    jne is_debuging
    jmp is_not_debuging
  }

一句话:DEBUG标记就在进程环境块(PEB)的第三个字节上面
 

`北极星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gao定反调试机制之IsDebuggerPresent和进程枚举
ChuMeng1999的博客
11-09 830
目录预备知识1.关于Immunity Debugger2.IsDebuggerPresent3.进程枚举4.FS寄存器的某些偏移的含义,及TEB,PEB实验目的实验环境实验步骤一实验步骤二 预备知识 1.关于Immunity Debugger 位于迈阿密的专业渗透测试技术公司immunity发布了一种新的工具。这种工具能够加快编写利用安全漏洞代码、分析恶意软件和二进制文件逆向工程等过程的速度。这个名为“debugger”的调试工具。immunity称,这个调试工具能够帮助研究人员和渗透测试人员把制作利用安全
System.EntryPointNotFoundException: 未发现入口点。
热门推荐
织梦行云
03-07 1万+
1.今天在把MVC3.0升级到MVC4.0的时候,运行项目,出现了这个问题。报错如下“/”应用程序中的服务器错误。 未发现入口点。 说明: 执行当前 Web 请求期间,出现未经处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。 异常详细信息: System.EntryPointNotFoundException: 未发现入口点。 源错误: 执行当前
[.NET跨平台]Jexus独立版本的便利与过程中的一些坑
weixin_33842304的博客
06-02 259
本文环境与前言 之前写过一篇相关的文章:在.NET Core之前,实现.Net跨平台之Mono+CentOS+Jexus初体验 当时的部署还是比较繁琐的,而且需要联网下载各种东西..有兴趣的可以看看,但是..已经过时了.. 虽然已经出了.NET Core2.0 但是目前是预览版本,而且部署来说 相对比较麻烦. 今天我们主要来讲讲目前的Jexus5.8.2的独立版本和过程中遇到的一些小坑 ...
反调试技术- IsDebuggerPresent,原理 与 反反调试
desword-- 技术,杂文。
07-25 6449
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
反调试之IsDebuggerPresent()分析
sanqiuai的博客
08-04 774
哪个DLL导出了该函数? 查MSDN可知 学习一个函数最好的方式是在自己的程序里面调用该函数,并分析自己的程序,我用c写了一个简单的程序,函数不断循环打印“I am running…”,并不断检查是否程序被调试,如果程序被调试,则输出“软件正在被调试”,然后退出 如何找到main函数 打开OD附加调试 ...
反调试学习——IsDebuggerPresent
weixin_41693985的博客
05-31 1231
IsDebuggerPresent ***IsDebuggerPresent***的作用是检测自身进程是否处于调试状态,如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 写了个小程序试验绕过: 绕过目前我自己有两种思路: 1.在判断处做改变 2.在 IsDebuggerPresent做改变 代码如下: if (IsDebuggerPresent()) { MessageBox(TEXT("有调试器在调试!")); } else { MessageBox(T
part01_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-17
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part03_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-17
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part04_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-16
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part05_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-16
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
反调试技术
nareku的博客
06-21 784
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.pdf
07-25
西班牙的一套OD使用教程,很不错。这是其中一部分。
IsDebuggerPresent和DebugBreak在Windows项目中的应用
FlushHip
12-03 902
首先要从一篇文档说起,https://docs.microsoft.com/zh-cn/windows/win32/debug/basic-debugging,这篇文档介绍了Windows调试的相关内容,比如相关的调试术语Debugging Terminology,可以看一下,举个例子,为什么调试器可以动态修改变量的值,这里Process Functions for Debugging就给出了解释...
C++ Windows API IsDebuggerPresent的作用
最新发布
琅嬛福地
08-23 199
当你在没有附加调试器的情况下运行此程序时,它将输出 “Debugger is not attached.”。例如,恶意软件可能使用这个函数来检测其自身是否被安全研究人员调试,如果是,则可能采取一些措施来干扰调试或直接结束执行。是 Windows API 中的一个函数,它用于检测当前运行的程序是否正在被调试。当程序被如 Visual Studio 这样的调试器附加时,此函数会返回。作为安全机制是不可靠的,因为经验丰富的逆向工程师知道如何绕过这样的检查。
反调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 622
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
isdebuggerpresent
云守护的专栏
09-14 702
// isdebuggerpresent.cpp : Defines the entry point for the console application. // #include #include #include int main(int argc, CHAR* argv[]) { //__asm { int 3 } typedef long NTSTATUS; #
System.EntryPointNotFoundException: Unable to find an entry point named 'sqlite3_column_origin_name'
a6214016的博客
04-11 3782
System.EntryPointNotFoundException: Unable to find an entry point named 'sqlite3_column_origin_name' in 'sqlite3' 运行在android真机上后使用读取sqlite出现以上错误 最后发现是在android里libsqlite.so不包含对sqlite3_column_origin_...
System.EntryPointNotFoundException:“无法在 DLL“xxxx.dll”中找到名为“yyyy”的入口点。”
汪锦鹏的博客
10-27 1万+
方法一:检查自己的入口函数名是否填对,粗心过一次填错了 TnT 。 方法二:检验自己目录下的pmsif.dll是否是自己真实需要调用的DLL文件,使用depends.exe打开查看函数是否有自己要调用的函数入口。 我电脑上有两个DLL,一个68k,一个72k,如果没有大小区别,很难想到是引用的DLL版本不对导致无法找到函数入口点。 方法三:替换一个DLL文件,DLL文件可能已经损坏,尝试反编译,结...
第19章-OllyDbg反调试之IsDebuggerPresent1
08-03
第19章-OllyDbg反调试之IsDebuggerPresent1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值