NtGlobalFlag

最新推荐文章于 2024-04-14 12:35:32 发布
最新推荐文章于 2024-04-14 12:35:32 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 杂记 文章标签: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhw4598/article/details/78453870
版权
本文介绍了如何使用NtGlobalFlag进行反调试。在32位系统中,NtGlobalFlag位于PEB的0x68位置,调试器附加后会设置特定标志。通过调试器如OD,可以观察到该位置的值变化。清除这个标志,程序可以被正常调试。
摘要由CSDN通过智能技术生成

简单的 NtGlobalFlag 反调试程序:

#include "stdafx.h"
#include <windows.h>

#define NAKED __declspec(naked)

NAKED BOOL Detect32()
{
    __asm
    {
        push ebp;
        mov ebp, esp;
        pushad;

        mov eax, fs:[30h];
        mov al, [eax + 68h];
        and al, 70h;
        cmp al, 70h;
        je being_debugged;
        popad;
        mov eax, 0;
        jmp being_debugged + 6

        being_debugged:
        popad;
        mov eax, 1;
        leave;
        retn;

    }
}
最低0.47元/天 解锁文章
想要养只猫
关注
专栏目录
调试学习
haodawei123的博客
12-18 233
1、PEB调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
[存档]NtGlobalFlags
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 779
2010年08月06日 14:01 - NtGlobalFlags FLG_STOP_ON_EXCEPTION 0x00000001 FLG_SHOW_LDR_SNAPS 0x00000002 FLG_DEBUG_INITIAL_COMMAND 0x00000004 FLG_STOP_ON_HUNG_GUI 0x00000008 FLG_HEAP_ENABLE_TA
8.3 NtGlobalFlag
CSDN
09-26 6592
NtGlobalFlag 是一个`Windows`内核全局标记,在`Windows`调试方案中经常用到。这个标记定义了一组系统的调试参数,包括启用或禁用调试技术的开关、造成崩溃的错误代码和处理方式等等。通过改变这个标记,可以在运行时设置和禁用不同的调试技术和错误处理方式,比如调试器只能访问当前进程、只允许用户模式调试、启用特定的错误处理方式等等。但由于`NtGlobalFlag`标记是内核全局标记,其改变会影响整个系统的行为,需要谨慎处理。
调试器检测技术 - 2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags
codemanrock
04-08 2793
2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags PEB.NtGlobalFlag PEB另一个成员被称作NtGlobalFlag(偏移0x68),壳也通过它来检测程序是否用调试器加载。通常程序没有被调试时,NtGlobalFlag成员值为0,如果进程被调试这个成员通常值为0x70(代表下述标志被设置): FLG_HEAP_ENA
调试 - PEB(BeingDebugged ,NtGlobalFlag
LYSM
09-10 1658
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
堆(heap)系列_0x06:NT全局标志和gflags.exe一页纸
可乐松子的博客
06-27 1290
NT全局标志是由一组位(bit)组成的32位数值,每一位都代表特定的功能;全局标志有2种影响范围:(影响所有进程,或者叫进程级)和(进程级的优先级更高)下面通过几个问题来介绍全局标志问题1:系统级别的全局标志怎么影响单个进程?没有指定进程级的全局标志时,进程级全局标志的影响流程:进程级的在进程创建时,通过进程加载器传播给每个用户态进程(被保存在进程环境块字段中)问题2:进程什么时候加载全局标志?进程的执行要经历进程加载器将磁盘上的文件加载到内存的过程(即PE文件的加载过程),此时会从注册表(如果有值话)读取
NtGlobalFlag.rar_NtGlobalFlag
09-20
标题 "NtGlobalFlag.rar_NtGlobalFlag" 暗示了这个压缩包与Windows操作系统中的一个关键系统变量——NtGlobalFlag有关,它在调试技术中扮演着重要角色。NtGlobalFlag是一个用于控制内核调试行为的标志位集合,通过...
第23章-OllyDbg调试之ProcessHeap,NTGlobalFlag,OutputDebugStringA1
08-03
本章主要讨论了OllyDbg调试中的ProcessHeap和NTGlobalFlag两个关键标志位,以及如何通过OutputDebugStringA函数进行调试。OllyDbg是一款强大的动态分析工具,而调试则是程序开发者用来防止其软件被逆向分析的...
使用OllyDbg从零开始Cracking 第二十三章-OllyDbg调试之ProcessHeap,NTGlobalFlag,
09-19
在本章中,我们将深入探讨OllyDbg的调试技术,主要关注ProcessHeap和NTGlobalFlag两个关键标志。这两个标志对于调试者来说至关重要,因为它们可以揭示程序是否正在被调试。了解如何检测和篡改这些标志是逆向工程中...
调试专题丨调试NtGlobaFlag
m0_64973256的博客
06-28 148
PEB 有一个名为NtGlobalFlag(32位系统下偏移量0x68)的字段,程序可以挑战该字段以确定它们是否正在被调试。可以看到64位系统下面,NtGlobalFlag标志位有所不同,位于PEB偏移0xbc。可以通过readgsqword(60h)获取到PED地址,再检查偏移0xbc位置标志位达到调试效果。+0x00c Ldr : Ptr32 _PEB_LDR_DATA _PEB_LDR_DATA结构。所以可以通过检测此标志位来检测是否被调试
2020.8.14----学习记录
菜鸡的博客
08-14 187
学习记录 好些天没更新学习记录了,今天才想起这个事情,一看时间距离上一次记录都过了半个月,看来时间真的过得很快2333 这段时间因为各种原因或者借口把学习记录????了,orz 这里记录一下最近看的调试 关于peb中的BeingDebugged 1. IsDebuggerPresent 该函数是Win32 API所提供的一个检测程序是否位于调试状态的函数,也是最为常见的一个调试函数,其实现代码如下 BOOL myIsDebuggerPresent(VOID) { DWORD flag; _asm
网络靶场实战-调试技术(上)
最新发布
蛇矛实验室
04-14 974
调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解调试技术,当遇到调试代码时,可以使用相对应的调试
global flags
yinhaijing123的专栏
04-16 3485
shao hou shang chuan
脱壳的艺术
小丢的专栏
10-31 7696
脱壳的艺术 Mark Vincent Yason 概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。 本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁用这些保
180306 逆向-调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1808
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
通过IsDebuggerPesent讲解windows PEB进程环境块结构
赫的BLOG
06-05 2674
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 写一个使用Is
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1009
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
OllyDbg调试技术:ProcessHeap与NTGlobalFlag
"本章主要探讨OllyDbg调试技术,关注ProcessHeap和NTGlobalFlag标志位的检测与规避,以及OutputDebugStringA的使用。通过学习这些内容,可以掌握基本的调试技巧。此外,提到了高级的调试手段,如Execryptor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值