反调试技术(1) 函数检测

最新推荐文章于 2022-01-06 23:07:05 发布
最新推荐文章于 2022-01-06 23:07:05 发布
阅读量1.4k 收藏 3
点赞数 1
文章标签: 反调试 逆向 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jentle8/article/details/102099974
版权

什么是反调试
反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。

反调试技术(1)

函数检测
函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 IsDebuggerPresent() :

该函数查询进程环境块(PEB)中的 BeingDebugged 标志,如果进程处在调试 上下文中,则返回一个非零值,否则返回零。
比如:

BOOL	CheckDebug(){						
return	IsDebuggerPresent();		
}

CheckRemoteDebuggerPresent()参考链接
用于检测一个远程进程是否处于调试状态:

BOOL	WINAPI	CheckRemoteDebuggerPresent(		
_In_				HANDLE	hProcess,		
_Inout_	PBOOL		pbDebuggerPresent );

如果 hProcess 句柄表示的进程处于调试上下文,则设置 pbDebuggerPresent 变量被设置为 TRUE ,否则被设置为 FALSE

例子:

BOOL	CheckDebug()		
{						
BOOL	ret;   //bool型返回值						
CheckRemoteDebuggerPresent(GetCurrentProcess(),	
&ret);						
return	ret;		}

NtQueryInformationProcess用于获取给定进程的信息:

NTSTATUS	WINAPI	NtQueryInformationProcess(		
_In_		HANDLE	ProcessHandle,		
_In_		PROCESSINFOCLASS ProcessInformationClass,		
_Out_		PVOID	ProcessInformation,		
_In_		ULONG	ProcessInformationLength,		
_Out_opt_   PULONG	ReturnLength );

第二个参数 ProcessInformationClass 给定了需要查询的进程信息类型。当给 定值为 0 ( ProcessBasicInformation )或 7 ( ProcessDebugPort ) 时,就能得到相关调试信息,返回信息会写到第三个参数 ProcessInformation 指向的缓冲区中。

实例:

BOOL	CheckDebug() {				
DWORD	dbgport	=	0;				
HMODULE	hModule	=	LoadLibrary("Ntdll.dll");	//动态调用dll部分			
NtQueryInformationProcessPtr	NtQueryInformationProcess	=	(NtQueryInformationProcessPtr)GetProcAddress(hModule,	"NtQueryInformationProcess");				
NtQueryInformationProcess(GetCurrentProcess(),	7,	&dbgPort,	sizeof(dbgPort),	NULL);				
return	dbgPort	!=	0; }

时间不早,后续会更新实际程序应用部分。。。。

菜鸟m号
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[车联网安全自学篇] ATTACK安全之DDMS调试检测
橙留香Park的博客
01-01 2074
调试检测是为了应对现在很多破解者使用IDA进行动态方式调试so文件,从而获取重要的信息,知道IDA进行so动态调试是基于进程的注入技术,然后使用Linux中的ptrace机制,进行调试目标进程的附加操作。ptrace机制有一个特点,如果一个进程被调试了,在它进程的status文件中有一个字段TracerPid会记录调试者的进程id值adb shell。
C++ 调试(TLS回调函数
LYSM
09-05 1265
关于 TSL 调试的内容,参考这篇文章 说完调试,如果不说调试就 毫无意义 ! 下面讲下针对 TLS 回调函数调试方法。 引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表: 进入这个表中查看,发现它的大小为 24 个字节: 关于 TLS 的结构体,有 32 位和 64 位两个版本: 其中 _IMAGE_TLS_DIRECTORY64 大小为:84+42=40,...
调试技巧总结-原理和实现
瞎几把学
01-18 3505
 标 题: 【原创】调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40链 接: http://bbs.pediy.com/showthread.php?t=70470调试技巧总结-原理和实现-------------------------------------------------------
IsDebuggerPresent() 函数检测进程是否运行在调试器的控制下
StudyRecord的专栏
02-15 959
<br />如题
测试函数
weixin_30949361的博客
07-23 276
首先有一个函数 name_function.py,他接受名和姓,并返回一个整洁的姓名。 def get_formatted_name(first, last): """Generate a neatly formatted full name""" full_name = first + ' ' + last return full_name.title() ...
[zt]一些检测调试器的方法
alphagx的专栏
04-07 923
IsDebuggerPresent.386      .model flat, stdcall      option casemap :none   ; case sensitive      include /masm32/include/windows.inc      include /masm32/include/user32.inc      include /masm32/inclu
调试技术
11-04
使用 Windows API 函数检测调试器是否存在是最简单的调试技术。Windows 操作系统中提供了这样一些 API,应用程序可以通过调用这些 API,来检测自己是否正在被调试。这些 API 中有些是专门用来检测调试器的存在的,...
阿布调试工具插件下载
最新发布
09-01
5. **硬件断点检测**:某些调试技术会扫描硬件断点寄存器,如果发现未授权的断点设置,就会采取行动。 6. **时间戳和性能计数器**:通过比较程序执行的速度,阿布插件可能能够检测调试器慢下来以便进行步进或...
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
调试技术主要目标是检测调试器的存在,从而让调试过程变得困难或者完全不可能。这些技术通常包括检查特定内存地址、系统调用、异常处理以及API函数等,以确定程序是否在调试环境中运行。 1. **检查调试器存在的...
未来函数检测工具
11-07
通达信未来股票软件交易系统指标函数函数检测工具
js经验分享 JavaScript调试技巧
10-18
JavaScript调试技术是开发者用来防止他人通过调试工具分析其代码的一种策略,尤其在网络犯罪中,这些技巧被用于隐藏恶意软件的行为。以下是一些关键的JavaScript调试方法: 1. **检测未知的执行环境**:代码...
CTF逆向之isDebuggerPresent调试函数
weixin_43575859的博客
12-03 1051
今天碰到一个题目,用od调试的时候总会莫名奇妙地自己退出,最后查百度才知道原来里面有个调试函数 题目是一个windows下的可执行文件 先直接运行程序看一下 居然直接出现了一个flag窗口,但是里面的flag却是乱码。这里猜想程序可能对真正的flag进行了加密。 拖到peid中发现没有壳 先拖入ida静态分析 我们可以看到程序的第16行有一个MessageBoxA函...
恶意代码分析实战——调试侦测
aming小老弟
01-12 529
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 8331
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
linux调试检测
songtzu的专栏
08-08 1235
在Windows下,程序可以用以下API函数检测当前进程是否正在被调试。int debugger_present; HANDLE process = GetCurrentProcess(); CheckRemoteDebuggerPresent(process, &debugger_present);
14 - 函数参数检测-inspect模块
tlammon的专栏
04-14 622
14 - 函数参数检测-inspect模块 目录 1 python类型注解 2 函数定义的弊端 3 函数文档 4 函数注解 4.1 annotation属性 5 inspect模块 5.1 常用方法 5.2 signature类 5.3 parameters属性 5.4 获取对象的参数签名 6 检查参数 1 python类型注解 ...
函数的几种检测方法
QDY5945的博客
10-28 1551
数据类型 function //1.1 typeof 来检测函数类型 function test1(){ console.log("呵呵"); } cons...
调试-----由IsDebuggerPresent函数看下去
kezhen的专栏
11-08 1828
通过已知的函数研究调试也许能学到些东西,先示例下简单的函数IsDebuggerPresent ? 在OD下看看IsDebuggerPresent的实现: mov eax,dword ptr fs:[18]  ?fs:[18]是什么?网搜一下,发现是TIB(Win 32 Thread Information Block)或TEB存贮的指向自身的线性指针(地址),详情可以参考:http:
调试技术详解:检测与规避策略
"这篇资源是关于调试技术的总结,主要介绍了恶意代码如何使用调试手段来避免被调试器分析,以及如何检测Windows调试器。文章涵盖了多种调试技术,包括利用Windows API函数如IsDebuggerPresent、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值