内核反调试

最新推荐文章于 2024-02-28 21:46:06 发布
最新推荐文章于 2024-02-28 21:46:06 发布
阅读量1.3k 收藏 11
点赞数 1
分类专栏: Windows 文章标签: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103891186
版权

1.钩子

对调试器附加过程中所用到的函数挂钩。

比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、

NtCreateDebugObject、NtWaitForDebugEvent 

调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess、DbgkMapViewOfSection、DbgkUnMapViewOfSection、DbgkForwardException、

DbgkpSendApiMessage等等

 

2.调试权限清除

清空debugobject.ValidAccessMask。这样调试器就无法附加了,附加会出现ERROR_ACCESS_DENIED拒绝访问

 

3.DebugPort

EPROCESS.DebugPort存放了调试对象的地址,只要该进程被调试,DebugPort一定有值。

可以自己创建一个没用的调试对象放到DebugPort里,这样别人也无法调试你的进程

 

4. DbgSsReserved

调试器线程TEB结构的DbgSsReserved[1]字段中保存的调试对象句柄,可以遍历线程,如果某个线程这个结构中存在值,那么这个进程就一定在被调试

 

5. DbgkpProcessDebugPortMutex

在调试系统中,有用到ExAcquireFastMutex获取一个调试同步的快速互斥体(DbgkpProcessDebugPortMutex)

如果修改这DbgkpProcessDebugPortMutex的值,就会使相关调试函数一直等待在ExAcquireFastMutex函数这里。调试器卡死

 

6. ProtectedProcess

目标进程EPROCESS下面的ProtectedProcess成员为TRUE,并且调试器进程EPROCESS下面的ProtectedProcessFALSE时,可以达到反调试效果。症状是调试器无法打开你的进程。

 

7. ProcessDelete

目标进程EPROCESS下面的ProcessDelete成员为TRUE,可以达到反调试效果,症状是调试器无法附加你的进程。但是在进程退出时,要把ProcessDelete改变成FALSE,否则系统不会释放进程。

 

8,改写目标进程对象的对象头内的TypeIndex为一个其他值,这会导致调试器无法打开目标进程,从而达到反调试目的。注意在进程退出时要把TypeIndex值更改回来,否则会产生蓝屏。

 

9,改写内核全局指针变量DbgkDebugObjectType指向的内容,可以阻止调试器附加进程。症状是调试器无法附加进程。

 

10,改写目标进程线程对象ETHREADHideFromDebugger成员为TRUE。当被调试时,当有调试事件产生,目标进程会崩溃。

 

11. 对调试对象类型的TotalNumberOfObjectsTotalNumberOfHandles进行检测,判断系统是否有调试器存在。

 

12.针对硬件断点的检测,可以获取目标进程的线程KTHREADTrapFrame成员,这是一个陷阱帧_KTRAP_FRAME结构的指针,其中的DRX系列成员如果有值,就代表当前线程存在硬件断点。

 

13. 针对硬件断点的检测,可以判定目标进程的线程KTHREADHeader成员的DebugActive是否有值,有值的话就代表当前线程存在硬件断点,硬件断点被windows设计为针对某线程的,只针对当前进程的某个线程设置了值

 

14. 对系统所有进程的句柄表进行检测,看看目标进程的进程对象、线程对象、或者一些调试对象是否存在,存在的话就代表目标进程已经被别的进程打开,可以选择关闭相关句柄,也可根据情况退出进程。

 

15. 对目标线程独享KTHREADSuspendCount成员进行改写,使之不等于零。当调试器调试目标进程,被中断时,由于目标进程线程的SuspendCount不为零,所以目标进程的线程就无法被暂停,那么调试器实际就等于没有中断目标进程,这会使调试器产生错误行为。

线程的SuspendCount必须等于0才能被暂停。如果等于1,那么在od中下断点,当程序执行到断点时,进程会暂停,进程被暂停,等于暂停目标进程的所有线程。但是有些线程SuspendCount=1,会继续运行

 

16.IDT HOOK
比如对3号中断进行hook,就可以让软件断点不起作用

 

17.打开被调试进程的时候,会返回句柄,驱动中可以注册回调,过滤句柄权限
绕过方法1:把权限改回来,修改GrantedAccess0x1FFFFF(最高权限)。
绕过方法2:通过系统进程,比如lsass.exe,这个系统进程中有打开受保护的进程,并且具有高权限,具有查询、读写进程等功能。具体可参考链接:https://bbs.pediy.com/thread-252710.htm

 

 

liuhaidon1992
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核调试插件
03-08
AA调试 内核调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
调试调试
kernweak的博客
05-23 449
调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
内核两种调试方法
zhuhuibeishadiao
05-02 4188
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007
android 多线程调试,64位内核开发第五讲,调试调试
weixin_39628070的博客
05-25 114
调试调试一丶调试的几种方法1.DebugPort端口清零debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了也就是说你不能单步了.等相关调试操作了.如果做调试.开启一个线程.不断的对这个DebugPort进行清零.进而进行调试.思路:1.找到当前进程的EPROCESS结构2...
刷boot.img内核防止调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过调试 3、提供了需要用到的工具和源码
安卓调试-解决方案一
06-22
在安卓开发中,为了保护应用的安全性和防止恶意篡改,开发者常常会采取调试技术。本文将深入探讨“安卓调试-解决方案一”,这个主题主要关注如何通过定时检测应用程序是否处于调试状态,如果检测到被调试,则...
Frida 调试, 内核img
08-09
Frida 调试, 内核img
Android中的调试代码
05-29
在Android应用开发中,调试技术是保护应用安全的重要手段之一。它主要用于防止恶意的逆向工程分析,保护代码不被篡改或盗用。本文将深入探讨Android应用中的调试策略及其实施方法。 首先,我们需要理解调试的...
ScyllaHide-vs13调试插件
04-19
它hook用户模式(ring3)中的各种函数以隐藏调试。 此工具旨在保留在用户模式(ring3)中。 如果您需要内核模式(ring0)Anti-Anti-Debug,请参阅TitanHide。 ScyllaHide在用户模式中尽可能隐蔽,目标是不干扰任何...
2种内核用户态调试方法
lixiangminghate的专栏
09-23 1715
0.前言     很久前写过一些应用层的调试的文章,这类调试方法的好处是易于实现,但缺点是很容易被绕过----保护因此失效。我们的危机公关手段是:将调试功能放到内核中用驱动程序实现,以增强程序的调试能力。由于vista后patch guard的影响,因此本文以Xp系统为例,其他系统需要对代码中的硬编码进行调整。 1.调试对象(DEBUG_OBJECT)介绍     当调试器创建进程时
调试原理及解决方法
最新发布
Python9724的博客
02-28 494
1.匹配长度 length2.正则匹配 new RegExp。
Android逆向之旅---应用的"调试"方案解析(附加修改IDA调试端口和修改内核信息)
mergerly的专栏
02-22 519
一、前言在前一篇文章中详细介绍了Android现阶段可以采用的几种调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段调试策略主要包括以下几种方式:第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)!第二、签名校...
ptrace 调试
weixin_30355437的博客
12-30 529
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
PP保护4:DbgkpProcessDebugPortMutex与DbgkDebugObjectType
netword12345的专栏
03-05 1564
PP保护对DbgkpProcessDebugPortMutex进行了处理,在其count里不停写入100,造成的后果就是OD一打开,就卡死了. PP保护还会遍历OBJECT,如果发现存在有DEBUG_OBJECT类型的OBJECT,就直接重启了。 所以要处理它们,处理互斥体的是这样的,自己申请一段内存,放在PP保护写入的地址处,然后把真正的MUTEX释放掉就OK了: 处理DbgkDebug
中断和异常
u012138730的专栏
05-10 3067
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Windows SEH学习 x86
weixin_30519071的博客
07-19 272
windows提供的异常处理机制实际上只是一个简单的框架。我们通常所用的异常处理(比如C++的throw、try、catch)都是编译器在系统提供的异常处理机制上进行加工了的增强版本。这里先抛开增强版的不提,先说原始版本。 原始版本的机制很简单:谁都可以触发异常,谁都可以处理异常(只要它能看得见)。但是不管是触发还是处理都得先注册。系统把这些注册信息保存在一个链表里,并...
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1106
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
来自看雪的手把手调试DebugPort清零
liujiayu2的专栏
06-30 3356
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1067
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
SPAD:硬件虚拟化技术在调试中的应用
由于用户态、内核态、系统级以及模拟器调试器的存在,调试器常常可以被轻易绕过,主要原因在于这些调试手段无法获得比调试器更高的权限级别。 在Windows操作系统中,调试机制通常依赖于关键函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值