防止被进程附加调试

最新推荐文章于 2023-06-24 13:46:34 发布
最新推荐文章于 2023-06-24 13:46:34 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: Winforms C#
  1. /**********************防止被进程附加调试*******************************/ 
  2. bool AntiAttach() 
  4.       HMODULE ntdll; // ntdll handle 
  5.       void* pDbgUiRemoteBreakin; // function handle 
  6.       DWORD dwOldProtect; // just for fun 
  7.       DWORD dwCodeSize; // Size of code to copy 
  8.       
  9.       // Get ntdll.dll handle 
  10.       ntdll = GetModuleHandle("ntdll.dll"); 
  11.       if(ntdll) 
  12.       { 
  13.            // Get target function addr 
  14.            pDbgUiRemoteBreakin = GetProcAddress(ntdll, "DbgUiRemoteBreakin"); 
  15.            if(pDbgUiRemoteBreakin) 
  16.            { 
  17.                 __asm 
  18.                 { 
  19.                      // Get code size 
  20.                      lea eax, __CodeToCopyStart 
  21.                           lea ecx, __CodeToCopyEnd 
  22.                           sub ecx, eax 
  23.                           mov dwCodeSize, ecx 
  24.                 } 
  25.                 // Make sure that we have write rights ... 
  26.                 if(VirtualProtect(pDbgUiRemoteBreakin, dwCodeSize, PAGE_EXECUTE_READWRITE, &dwOldProtect)) 
  27.                 { 
  28.                      __asm 
  29.                      { 
  30.                           // Copy code between __CodeToCopyStart and __CodeToCopyEnd 
  31.                           mov edi, pDbgUiRemoteBreakin 
  32.                                lea esi, __CodeToCopyStart 
  33.                                mov ecx, dwCodeSize 
  34.                                rep movsb 
  35.                                // Skip code 
  36.                                jmp __CodeEnd 
  37.                                
  38. __CodeToCopyStart: 
  39.                           lea eax, __CodeToCopyEnd 
  40.                                jmp eax 
  41. __CodeToCopyEnd: 
  42.                      } 
  43.                      
  44.                      // ***CODE*HERE*** 
  45.                      __asm 
  46.                      { 
  47.                           // Clear registers 
  48.                           xor eax, eax 
  49.                                pushfd 
  50.                                mov [esp], eax 
  51.                                popfd 
  52.                                xor ebx, ebx 
  53.                                xor ecx, ecx 
  54.                                xor edx, edx 
  55.                                xor esi, esi 
  56.                                xor edi, edi 
  57.                                xor esp, esp 
  58.                                xor ebp, ebp 
  59.                                // Jump to address 0 
  60.                                jmp eax 
  61.                      } 
  62.                      // *************** 
  63.                      
  64. __CodeEnd:; 
  65.            return true
  66.                 } 
  67.            } 
  68.       } 
  69.       return false;      
  73. void AntiDebug() 
  75.       HANDLE handle=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); 
  76.       PROCESSENTRY32* info=new PROCESSENTRY32; 
  77. info->dwSize=sizeof(PROCESSENTRY32); 
  78. int i=0; 
  79. //      HTREEITEM hItem[100]; 
  80.       
  81.       int MyParentProcessID=0;//自身的父进程ID 
  82.       int ExplorerProcessID=0;//Explorer.exe的进程ID 
  83.       int WinRarProcessID = 0;//winrar进程ID 
  84.       if (Process32First(handle,info)) 
  85.       { 
  86.            while (Process32Next(handle,info)) 
  87.            { 
  88.                 CString exe; 
  89.                 exe.Format("%s",info->szExeFile); 
  90.                 
  91.                 CString ProcessID; 
  92.                 ProcessID.Format("进程ID:%d",info->th32ProcessID); 
  93.                 
  94.                 CString ParentID; 
  95.                 ParentID.Format("父进程ID:%d",info->th32ParentProcessID); 
  97.                 //比较进程名,这里忽略大小写 
  98.                 if (stricmp(exe.GetBuffer(exe.GetLength()),"WinRAR.exe") == 0) 
  99.                      WinRarProcessID = info->th32ProcessID; 
  100.                 if (stricmp(exe.GetBuffer(exe.GetLength()),"explorer.exe")==0) 
  101.                      ExplorerProcessID=info->th32ProcessID;//获得EXPLORER的进程ID 
  102.                 if (stricmp(exe.GetBuffer(exe.GetLength()),"test.exe")==0) 
  103.                      MyParentProcessID=info->th32ParentProcessID;//获得自身父进程ID 
  104.                 
  105.                 i++; 
  106.            } 
  107.       }      
  108. //      SetDlgItemText(IDC_STATUS,sta);      
  109.       CloseHandle(handle);      
  110.       delete info; 
  111.       //检查自身程序的父进程是否是winrar 
  112.       if(MyParentProcessID != WinRarProcessID) 
  113.       { 
  114.            //检测自身的父进程是否是EXPLORER 
  115.            if (MyParentProcessID!=ExplorerProcessID) 
  116.            { 
  117.                 //           AfxMessageBox("检测到调试器"); 
  118.                 PrintLog("检测到调试器,结束自身"); 
  119. //                exit(0); 
  120.                 //           return ; 
  121.            } 
  122.       } 
  123. //      else 
  124. //           AfxMessageBox("注意:没有检测到调试器..."); 
  125. }
crescens
关注
专栏目录
将Windbg附加到软件进程上排查异常闪退的问题
dvlinker的技术专栏
06-10 9597
使用Windbg和Process Explorer排查因为内存泄漏导致的软件异常闪退问题。
Ollydbg之进程线程调试
ChuMeng1999的博客
10-15 1044
目录预备知识1.进程、线程实验目的实验环境实验内容和步骤实验步骤1.使用OD调试进程2.使用OD调试线程 预备知识 本实验要求实验者具备如下的相关知识: 1.进程、线程 进程(Process)和线程(Thread)是操作系统的基本概念,但是它们比较抽象,不容易掌握。从一定意义上讲,进程就是一个应用程序在处理机上的一次执行过程,它是一个动态的概念,而线程是进程中的一部分,进程包含多个线程在运行。 进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时,它才能成为一个活动的实体,我们称其
Anti-Attach 防止调试附加
LLC
08-16 5998
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》 看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案, 发现书上写了这样一句话: Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon
调试 -- 利用ptrace阻止调试附加
weixin_34268843的博客
07-04 1018
为了方便应用软件的开发和调试,UNIX的早期版本就提供了一种对运行时中的进程进行跟踪和控制的手段,那就是系统的ptrace。 这个函数在iOS中没有提供头文件,我们可在macOS中查看头文件的具体细节。pteace提供了一个非常有用的参数,PT_DENY_ATTACH,这是一个宏,这个参数用于告诉系统阻止调试附加。 首先,可以将macOS下的头文件整体复制出来放到iOS工程下,方便使用。 ...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2151
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试附加 ...
避免自己的程序被恶意调试
这个人很懒,什么都没留下!
08-31 236
引入下面代码即可 (() => { function block() { if ( window.outerHeight - window.innerHeight > 200 || window.outerWidth - window.innerWidth > 200 ) { document.body.innerHTML = "检测到非法调试,请
CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了
爱码农爱生活
09-22 5639
CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了 其实看过 windows 核心编程那本书的人都知道 计算机编程领域 那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT  等等这些东西来限制一些如:CE  OD ASM32  这些工具调试而已 比如OD要调试一个程序进程 首先做的是2步操作 1.调用系统库中打开进程的API函数 2.创...
防止进程被关闭.zip易语言项目例子源码下载
03-22
在“防止进程被关闭.zip”这个易语言项目中,我们可以了解到如何编写代码来保护一个进程不被轻易结束。下面将详细探讨相关知识点。 1. **进程保护**: 在计算机系统中,进程是执行中的程序实例,每个进程都有一个...
让OD等调试器无法附加你的程序源码
06-03
资源介绍:。源码就是利用DeDdg函数先一步附加我们的自己进程,让其他调试器无法附加,达到反调试。资源作者:。@莫爱。资源界面:。资源下载:。
易语言实现反OD调试反复附加的代码
08-26
通过Hook API 函数,我们可以防止OD调试工具Hook我们的程序,从而保护我们的程序不被调试和反编译。 易语言实现反OD调试反复附加的代码 易语言可以实现反OD调试反复附加的代码,通过调用Windows API和DLL命令来...
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
检查进程是否被调试
10-08 873
转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 ...
C/C++调试与绕过手法
CSDN
09-13 5525
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给反病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的反调试基础的实现原理以及如何过掉这些反调试手段,从而让我们能够继续分析恶意代码。
清空 _EPROCESS 结构体中的 DebugPort ,实现进程无法被附加调试
walker的博客
03-07 717
简介 在内核 _EPROCESS 中有一个 DebugPort 成员,该成员中存储的是一个内核调试对象地址。当调试附加进程调试时,操作系统会在内核中创建一个调试对象,并将调试对象的地址写入对应被调试进程的 _EPROCESS 结构体中的 DebugPort 成员中,用于实现调试器与被调试进程之间建立联系。而清空该地址时,调试器将会与被调试进程之间失去关联,即无法继续调试进程。 如果调试器重复多次发起调试请求,操作系统将会重复将调试对象的地址写入被调试进程。如果只将 DebugPort 清空一次,依然会
防止调试事件被发往调试
125096
04-14 779
typedef NTSTATUS(*fnZwSetInformationThread)(HANDLE ThreadHandle, THREADINFOCLASS ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength); fnZwSetInformationThread ZwSetInform
监控自身进程指定内存块是否被读写(防CE)
IT男也疯狂
06-28 6603
无意当中看到的一种监控读写的方法,写了个DEMO留档// WsWatch.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Psapi.h> #pragma comment(lib, "psapi.lib") #ifndef PAGE_SIZE #define PAGE_SIZE 0x1000 #endif #define N...
32位/64位WINDOWS驱动之保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
a756598009的博客
06-24 889
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
读写锁与进程守护
xuruhua的博客
04-21 386
 一、读写锁:一种交易场所:变量、数组、链表等其他数据结构两种角色:读者、写者三种关系:读者和写者之间没有关系;写者与写者之间互斥;读者与写者之间同步和互斥关系读者与读者之间共享,读者与写者之间必须等一方解锁,另一方才能加锁;读者与写者线程同时竞争锁,写者会优先获取到锁1.案例:代码:# include<stdio.h># include<stdlib.h># includ...
IDA动态调试破解AliCrackme与反调试对抗
道阻且长,行则将至。
10-17 2727
文章目录前言APK破解(上)1.1 静态分析1.2 动态分析反调试对抗2.1 Ptrace2.2 全局调试2.3 反反调试APK破解(下)3.1 重新编译3.2 动态调试总结 前言 在前面的文章中 IDA动态调试破解EXE文件与分析APK流程 介绍了 IDA 对 APK 进行动态调试分析的简单流程,然而实际上很多 APP 为了防止被动态调试分析,经常会做一些反调试的防护措施。本文将通过 2014 年阿里安全挑战赛的第二题 AliCrackme_2(APK下载地址),来进一步学习 APK so 文件的动态调试
linux c怎么防止gdb调试
最新发布
08-18
在Linux C程序中,可以通过一些技术手段来尝试防止被GDB调试。以下是一些常见的方法: 1. anti-debug技术:使用反调试技术可以检测和防止调试器的使用。例如,可以通过检查特定的调试寄存器或检测调试器特有的信号来判断程序是否正在被调试。 2. 修改elf文件头:可以修改可执行文件的elf文件头,将其标记为不可调试。这样,GDB将无法附加到该程序。 3. 使用ptrace检测:可以在程序中使用ptrace函数来检测是否有其他进程以跟踪方式附加到当前进程。如果检测到,则可以选择终止程序或采取其他防护措施。 需要注意的是,这些方法并不是绝对可靠的,有经验的调试人员仍然可能绕过这些防护措施。因此,在开发和发布软件时,应该综合考虑安全性和便利性,并避免依赖于单一的防护手段。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值