反调试学习

最新推荐文章于 2024-04-14 12:35:32 发布
最新推荐文章于 2024-04-14 12:35:32 发布
阅读量231 收藏
点赞数
分类专栏: vc编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haodawei123/article/details/103585138
版权
本文深入探讨了多种反调试技术,包括PEB反调试、IsDebuggerPresent函数检测、CheckRemoteDebuggerPresent、NtQuerySystemInformation、NtClose函数等,并介绍了如何绕过这些检测。此外,还涉及窗口、菜单、进程和文件检测,硬件断点检测以及自实现内存CRC等反调试策略。
摘要由CSDN通过智能技术生成

1、PEB反调试

	BeingDebugged :1
	NtGlobalFlag :0x70


```cpp
#include "..//ntdll//ntdll.h"//导入ntdll.h头文件
#pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库
#define OUTMESSAGE(a,b) printf("%-36s %s\n",a,b ? "Being debuged":"Running Normal!")//定义一个宏显示调试信息
void test()
{
	PEB *peb;
	BOOL bl = FALSE;
	_asm
	{//FS:[0x30]获取peb的地址
		mov eax, dword ptr fs : [0x30]
		mov peb,eax
	}

	if (peb->BeingDebugged)
	{
		bl = TRUE;
	}
	if (peb->NtGlobalFlag & 0x70)
	{
		bl = TRUE;
		
	}
	OUTMESSAGE(__FUNCTION__, bl);
}

2 IsDebuggerPresent

IsDebuggerPresent函数检测,被调试时返回1

void _IsDebugPresent()
{
   
	BOOL bl = FALSE;
	if (IsDebuggerPresent())
	{
   
		bl = TRUE;

	}
		OUTMESSAGE(__FUNCTION__, bl);
}

3 CheckRemoteDebuggerPresent

CheckRemoteDebuggerPresent检测是通过ZwQueryInformationProcess实现的
NTSTATUS NtQueryInformationProcess (
__in HANDLE ProcessHandle,
__in PROCESSINFOCLASS ProcessInformationClass,
__out_bcount(ProcessInformationLength) PVOID ProcessInformation,
__in ULONG ProcessInformationLength,
__out_opt PULONG ReturnLength
);
这里第二个参数是7,实际上被定义为ProcessDebugPort
过掉方法:Hook住CheckRemoteDebuggerPresent,调用了ZwQueryInformationProcess之前的je改成jmp来跳过Zw这个函数~~OD还会在ZwQueryInformationProcess这个函数的调用地址强行改了,去调用作者的一个函数,该函数中根据是否查询的是7来决定时候调用ZwQueryInformationProcess:
在这里插入图片描述

4、NtQuerySystemInformation

NtQuerySystemInformation是检测有没有系统内核调试器

void _NtQuerySystemInformation()
{
   
	BOOL bl = FALSE;
	NTSTATUS status;
	SYSTEM_KERNEL_DEBUGGER_INFORMATION pKerDbgInfo;
	ULONG returnlen;
	status = NtQuerySystemInformation(SystemKernelDebuggerInformation,
		&p
最低0.47元/天 解锁文章
haodawei123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓调试-解决方案一
06-22
在安卓开发中,为了保护应用的安全性和防止恶意篡改,开发者常常会采取调试技术。本文将深入探讨“安卓调试-解决方案一”,这个主题主要关注如何通过定时检测应用程序是否处于调试状态,如果检测到被调试,则...
易语言SEH调试
07-21
总之,易语言SEH调试技术是保护程序安全的重要手段,通过学习其源码,开发者不仅可以了解如何在易语言环境下实施调试,还能深入理解Windows操作系统中的异常处理机制,这对于提升安全编程技能和防止代码被逆向...
调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1605
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
PEB(调试
lwhaaaa的博客
04-26 1125
文章目录0x01 PEB 简介0x02 成员介绍一、BeingDebugged二、Ldr三、ProcessHeap四、NtGlobalFlag 0x01 PEB 简介 ​ PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化。其中与我们的调试有较大关系的成员有: +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +
[ScyllaHide] 03 PEB相关调试
kinghzking的专栏
12-21 476
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关调试 调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对调试有进一步的了解吧。 先说下,最近翻看资料对调试的理解吧。 首先
PEB在调试中的常用点
谢绝留言与私信
01-15 1281
前言 和老手聊起PEB在调试中常用的几个点, 做个试验. 记录 开Winxp虚拟机调试模式, 连上Windbg. 先用Windbg附加记事本,将PEB列出来. !process 0 0 PROCESS 82091650 SessionId: 0 Cid: 04e4 Peb: 7ffde000 ParentCid: 0170 DirBase: 07f8024
调试技术
dieyuyong6397的博客
11-15 291
静态调试特点:在调试开始阻拦调试者PEBBeginDebug:调试标记位Ldr:内存状态Heap(Flag,Force Flags):堆状态NtGlobalFlag:内核全局标记TEBStaticUnicodeString:静态缓冲区原始APINtQueryInformation()ProcessDebugPort(0x07):获取调试端口ProcessDebugObjectHandl...
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
在编程世界中,调试是软件开发过程中的关键环节,它帮助开发者识别并修复代码中的错误。然而,有些恶意软件或程序作者为了防止他们的...对于任何对软件安全或逆向工程感兴趣的开发者,深入学习调试技术都是必要的。
一个OD补丁用来调试
03-16
6. **学习与研究**:通过这个过程,你可以深入学习调试技术和逆向工程,了解软件如何检测和应对调试,以及如何编写或使用调试策略。 在实际操作中,了解和掌握这些知识不仅可以提升你在逆向工程领域的技能,...
易语言-调试模块易语言
06-29
易语言是一种基于中文编程的计算机程序设计语言,旨在降低编程技术门槛,让更多人能接触和学习编程。...对于想要在易语言中实现安全防护或有兴趣了解调试策略的人来说,这是一个非常有价值的学习资源。
第22章-OllyDbg调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
第二十二章-OllyDbg 调试之 UnhandledExceptionFilter,ZwQueryInformationProcess本章我们继续讨论调试
学习记录】各种调试手段总结
weixin_34192993的博客
09-30 341
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
网络靶场实战-调试技术(上)
最新发布
蛇矛实验室
04-14 937
调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解调试技术,当遇到调试代码时,可以使用相对应的调试
调实例
weixin_42102404的博客
06-21 103
https://blog.csdn.net/yaomingyang/article/details/80544845
Win32下常见调试技术
HexRain的专栏
12-17 4909
1 探索内存差异 跟到的一个IceSword用户层程序中的一个调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
Windows调试技术参考
子曰小玖的博客
01-08 1276
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术。 调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文中,我们假设所有的程序都是在Rin...
阻止删除文件(文件占坑)+nevergone逆向代码一份
daiafei
03-25 3756
文章来源:http://forum.eviloctal.com/thread-32738-1-3.html 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 逆向作者:nevergone 作者:Written by 风泽(EvilHsu)[E.S.T] 真正的技术作者是DebugMan上《ring3文件占坑大法》的作者。 介绍: dhfile是参
自己调用NTDLL函数
weixin_34066347的博客
09-25 614
一、概述 在DLL初始化的时候有时不能调用其它系统DLL的函数,以免导致问题,但有时候又必须要调用怎么办?一种办法就是自己直接调用NTDLL接口,这样肯定没有问题。 下面我写个自己调用Registry的封装类,用来代替原本系统注册表API。 二、申明NTDLL导出函数 在自己工程中需要调用NTDLL导出函数,可以通GetProcessAddr来获取函数地址再调用,也可以通过导入库的方式(这种需...
深度解析:调试技术原理与实战应用
本文档深入探讨了各种调试技术的原理及其在实际应用中的实例,涵盖了调试器检测、进程控制、时间敏感检查、权限管理、调试对象操作、特定工具利用(如OllyDbg)以及调试技术的策略。作者唐久涛,一个在软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值