15.ring3-反调试小结

最新推荐文章于 2024-05-06 21:05:46 发布
最新推荐文章于 2024-05-06 21:05:46 发布
阅读量2.7k 收藏 8
点赞数 1
分类专栏: 安全(ring3) 文章标签: exception null byte vmware reference
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/8067006
版权

1.IsDebuggerPresent 检测是否在函数头有普通断点,或是否被挂钩

2.CheckRemoteDebuggerPresent(ProcessDebugPort)

3.NtGlobalFlags,测试发现直接运行工程会提示有调试器,windbg初始附加运行提示有调试器,但windbg中间附加不会提示有调试器,测试失败,但可用.

0:000> dt _PEB -y NtGlobalFlag @$peb
test1!_PEB
   +0x068 NtGlobalFlag : 0x40000
DbgToolType AD_NtGlobalFlags()
{
 __asm
 {
  mov eax, fs:[30h]
  mov eax, [eax+68h]
  and eax, 0x70
  test eax, eax
  jne rt_label
  jmp rf_label
 }
rt_label:
 return DBGTOOL_CUSTOM;
rf_label:
 return DBGTOOL_NO;
}


4.通过列举运行的应用程序的窗口,并于常用调试相关工具比对(但调试器不一定附加在自己进程)

DbgToolType AD_FindDbgToolWindow()
{
 if (::FindWindow(_T("ollydbg"),NULL)
  || ::FindWindow(_T("pe--diy"),NULL))//oLLYICE的类名叫pe--diy
 {
  MyOutputDebugString(_T("[AD_FindDbgToolWindow] DBGTOOL_OD"));
  return DBGTOOL_OD;
 }

 if (::FindWindow(_T("WinDbgFrameClass"),NULL))
 {
  MyOutputDebugString(_T("[AD_FindDbgToolWindow] DBGTOOL_WINDBG"));
  return DBGTOOL_WINDBG;
 }

 return DBGTOOL_NO;
}

5.通过列举运行的应用程序的进程名,并于常用调试相关工具比对(但调试器不一定附加在自己进程)

DbgToolType AD_FindDbgToolProcess()
{
 HANDLE hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
 if (INVALID_HANDLE_VALUE == hProcSnap)
 {
  return DBGTOOL_NO;
 }

 PROCESSENTRY32 pe32 = {sizeof(PROCESSENTRY32)};
 if (!Process32First(hProcSnap, &pe32))
 {
  CloseHandle(hProcSnap);

  return DBGTOOL_NO;
 }

 do 
 { 
  if (0 == _tcsicmp(pe32.szExeFile, _T("OLLYICE.EXE"))
   || 0 == _tcsicmp(pe32.szExeFile, _T("OLLYDBG.EXE")))
  {
   return DBGTOOL_OD;
  }

  if (0 == _tcsicmp(pe32.szExeFile, _T("WINDBG.EXE")))
  {
   return DBGTOOL_WINDBG;
  }

 } while (Process32Next(hProcSnap, &pe32));

    CloseHandle(hProcSnap);
 return DBGTOOL_NO;
}


6.如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置6.如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置6.如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置

DbgToolType AD_BeingDebuggedFlag()
{
 __asm
 {
  mov eax,  fs:[30h]             ;EAX =  TEB.ProcessEnvironmentBlock
  inc eax
  inc eax
  mov eax,  [eax]
  and eax,  0x000000ff        ;AL  =  PEB.BeingDebugged
  test eax, eax
  jne rt_label
  jmp rf_label
 }
rt_label:
 return DBGTOOL_CUSTOM;
rf_label:
 return DBGTOOL_NO;
}

7.当一个进程获得SeDebugPrivilege,它就获得了对CSRSS.EXE的完全控制,这种特权也会被子进程继承, 也就是说一个被调试的程序如果获得了CSRSS.EXE的进程ID,它就可以使用openprocess操作CSRSS.EXE,加壳后发现提示有调试器,暂不用此方式

DbgToolType AD_SeDebugPrivilege()
{
	return DBGTOOL_NO;

	// 枚举进程,找到CSRSS.exe进程
	HANDLE hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (INVALID_HANDLE_VALUE == hProcSnap)
	{
		return DBGTOOL_NO;
	}

	PROCESSENTRY32 pe32 ={sizeof(PROCESSENTRY32)};
	if (!Process32First(hProcSnap, &pe32))
	{
		CloseHandle(hProcSnap);

		return DBGTOOL_NO;
	}

	DWORD  PID_csrss;
	bool findflag = false;
	do 
	{
		if (0 == _tcsicmp(pe32.szExeFile, _T("csrss.exe")))
		{
             PID_csrss = pe32.th32ProcessID;
			 findflag = true;
		}

	} while (Process32Next(hProcSnap, &pe32) && !findflag);

	if (findflag)
	{
		HANDLE hCrssPro = OpenProcess(PROCESS_QUERY_INFORMATION,false,PID_csrss);
		if (hCrssPro)
		{
			CloseHandle(hProcSnap);
			CloseHandle(hCrssPro);

			return DBGTOOL_CUSTOM;
		}        
	}

    CloseHandle(hProcSnap);
    return DBGTOOL_NO;
}

8.:给CloseHandle()函数一个无效句柄作为输入参数,在无调试器时,将会返回一个错误代码,而有调试器存在时,将会触发一个EXCEPTION_INVALID_HANDLE (0xc0000008)的异常

DbgToolType AD_ExceptionCloseHandle()
{
	__try
	{
		CloseHandle(HANDLE(0x00001234));
		return DBGTOOL_NO;
	}
	__except(1)
	{
		return DBGTOOL_CUSTOM;
	}
}


9.Window创建进程的时候会把STARTUPINFO结构中的值设为0,windbg启动程序,不会报,但OD启动它,会报有调试器,测试失败.但可用.

DbgToolType AD_CheckStartupInfo()
{
	STARTUPINFO si;
	ZeroMemory( &si, sizeof(si) );
	si.cb = sizeof(si);
	GetStartupInfo(&si);
	if ((si.dwX != 0) 
		|| (si.dwY !=0) 
		|| (si.dwXCountChars != 0)
		|| (si.dwYCountChars !=0 ) 
		|| (si.dwFillAttribute != 0)
		|| (si.dwXSize != 0) 
		|| (si.dwYSize != 0))
	{
		return DBGTOOL_CUSTOM;
	}
	else 
	{
		return DBGTOOL_NO;
	}
}


 

10.护页异常”是一个简单的反调试技巧。当应用程序尝试执行保护页内的代码时,将会产生一个EXCEPTION_GUARD_PAGE(0x80000001)异常,但如果存在调试器,调试器有可能接收这个异常,并允许该程序继续运行,事实上,在OD中就是这样处理的,OD使用保护页来实现内存断点

DbgToolType AD_OD_Exception_GuardPages()
{
	SYSTEM_INFO sSysInfo;
	LPVOID lpvBase;
	BYTE * lptmpB;
	GetSystemInfo(&sSysInfo);
	DWORD dwPageSize = sSysInfo.dwPageSize;
	DWORD flOldProtect;

	lpvBase = VirtualAlloc(NULL,dwPageSize,MEM_COMMIT,PAGE_READWRITE);
	if (lpvBase == NULL)
	{
		return DBGTOOL_NO;
	}

	lptmpB = (BYTE *)lpvBase;
	*lptmpB = 0xc3;//retn

	VirtualProtect(lpvBase, dwPageSize, PAGE_EXECUTE_READ | PAGE_GUARD, &flOldProtect);

	__try
	{
		__asm  call dword ptr[lpvBase];
		VirtualFree(lpvBase, 0, MEM_RELEASE);
		return DBGTOOL_CUSTOM;
	}
	__except(1)
	{
		VirtualFree(lpvBase, 0, MEM_RELEASE);
		return DBGTOOL_NO;
	}
}


 


DbgToolType AD_OD_Exception_GuardPages()
{
	SYSTEM_INFO sSysInfo;
	LPVOID lpvBase;
	BYTE * lptmpB;
	GetSystemInfo(&sSysInfo);
	DWORD dwPageSize = sSysInfo.dwPageSize;
	DWORD flOldProtect;

	lpvBase = VirtualAlloc(NULL,dwPageSize,MEM_COMMIT,PAGE_READWRITE);
	if (lpvBase == NULL)
	{
		return DBGTOOL_NO;
	}

	lptmpB = (BYTE *)lpvBase;
	*lptmpB = 0xc3;//retn

	VirtualProtect(lpvBase, dwPageSize, PAGE_EXECUTE_READ | PAGE_GUARD, &flOldProtect);

	__try
	{
		__asm  call dword ptr[lpvBase];
		VirtualFree(lpvBase, 0, MEM_RELEASE);
		return DBGTOOL_CUSTOM;
	}
	__except(1)
	{
		VirtualFree(lpvBase, 0, MEM_RELEASE);
		return DBGTOOL_NO;
	}
}


 

 

 


 

花熊
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4228
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
调试总结
weixin_52369224的博客
03-03 641
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 334
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
调试技术总结(看雪)
eli的博客
12-07 2929
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
r3调试
liuhaidon1992的博客
01-08 2077
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
linux常用命令-part3
热门推荐
chinayuan的专栏
05-01 2万+
中文怎么发音 Ubuntu 有奔头,乌版图 Fedora 费德勒,菲朵拉 Debian 迪扁,德槟 CentOS 桑托斯 森头斯       Linux发展历史: 1) RedHat ---> 1.RedHat                2.CentOS                3.Fedora  桌面图形系统        rpm, yum 命令 2)
红队专题-REVERSE汇编/二进制PWN/逆向/编译
aming小老弟
10-10 1221
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
linux常用命令-part2
chinayuan的专栏
05-01 2万+
Ubuntu,Fedora,Debian,CentOS中文怎么发音 有奔头, 费德勒, 迪扁, 桑托斯。 乌版图 菲朵拉 德槟 森头斯 ================================ 使用find和wc命令统计代码行数 ================================ wc -l `find . -name "*.js" | xargs`
2024年渗透测试流程-全(仅供学习,知识分享)_渗透测试教程(1),2024年最新还在等机会
2401_84563080的博客
05-06 1092
openssl心脏出血  https://paper.seebug.org/437/  http://www.anquan.us/static/drops/papers-1381.html  https://www.freebuf.com/sectool/33191.html445/ smb。ladp注入  http://www.4hou.com/technology/9090.html  https://www.freebuf.com/articles/web/149059.html443/ ssl。
Ring3调试流程
疯子K的自留地
12-28 553
调试调试指定进程的流程: 打开调试调试进程; while(true) { 等待调试事件; 处理调试事件; 恢复调试事件; } /////////////////////////////////////////////////////////////////////// 打开被调试进程:DebugActiveProcess This function allows a
调试功能<IsDebuggerPresent>
weixin_30423977的博客
09-19 196
依赖于API的调试 这个函数会看PEB中的BeingDebugged是否为0,不为0就表示无调试器,否则表示有调试器.注意的是以前代码都会对这个函数首字节是否为0x64作判断,但在win7下,需要对应kernelBase中的IsDebuggerPresent,而不是kernel32中的IsDebuggerPresent //使用IsDebuggerPresent函数检测 DbgTo...
CPU 的 ring0,ring1,ring2,ring3
dy1996的博客
02-18 684
举个RING权限的最简单的例子:一个停止响应的应用程式,它运行在比RING0更低的指令环上,你不必大费周章的想着如何使系统回复运作,这期间,只需要启动任务管理器便能轻松终止它,因为它运行在比程式更低的RING0指令环中,拥有更高的权限,可以直接影响到RING0以上运行的程序,当然有利就有弊,RING保证了系统稳定运行的同时,也产生了一些十分麻烦的问题。,在处理RING指令环时便遇到了麻烦,系统是运行在RING0指令环上的,但是虚拟的OS毕竟也是一个系统,也需要与系统相匹配的权限。
红蓝对抗----Ring3到Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 1117
这篇文章我们将研究CreateFile是如何从Ring3到Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
[ring3作弊篇] 基于EBP遍历调用栈及模块名
Koma的主页
03-23 2653
[ring3作弊篇] VC++基于EBP遍历调用栈及模块名 入门级作弊代码仅供参考~~
[ScyllaHide] 03 PEB相关调试
kinghzking的专栏
12-21 488
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关调试 调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对调试有进一步的了解吧。 先说下,最近翻看资料对调试的理解吧。 首先
XX游戏R3层调试 初探
把梦想放飞在蓝色的天空里...
12-24 8558
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
浅谈NT下Ring3无驱进入Ring0的方法
享受开发,颠倒银河
01-14 1万+
[原创]浅谈NT下Ring3无驱进入Ring0的方法 关键字:NT,Ring0,无驱   (测试环境:Windows 2000 SP4,Windows XP SP2. Windows 2003 未测试)   在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在 [原创/探讨]Windows 核心编程研究系列之一(改变进程
如何让Delphi在调试运行程序时正确执行捕获异常
樊亿的专栏
07-23 1812
        今天在Delphi调试运行程序时,发现程序执行后没有提示我想要的错误信息xxx(比如Read Error),却仍旧提示存取地址错误类似的系统错误。 后来在网上找到解决此问题的方法。1脱离Delphi环境执行编译好的程序。2如非要在Delphi环境中运行也可以,在Tools->Debuger   Options->Language   Exceptions面板中把“Sto
swift-ring-builder account.builder add --region 1 --zone 1 --ip 192.168.200.20 --port 6202 --device sdc --weight 100
最新发布
06-03
- `swift-ring-builder` 是创建和修改 Swift ring 的命令。 - `account.builder` 是使用的 ring 文件的名称。 - `add` 是该命令的操作,用于将新的设备添加到环中。 - `--region 1` 表示将此设备添加到的区域编号。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值