如何用Windbg调试禁止使用调试器的程序

最新推荐文章于 2021-09-15 22:40:48 发布
最新推荐文章于 2021-09-15 22:40:48 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyan4794/article/details/5299441
版权

1. 运行目标程序,用Windbg关联上该进程,或者直接从Windbg中运行该程序

2. 切换到0号线程:

    ~0s

3. 修改进程是否附加调试器的标志:

0:000> dd fs:18:30
0018:00000030  7ffd9000 00000000 00000000 00000000
0018:00000040  fbed29f8 00000000 00000000 00000000
0018:00000050  00000000 00000000 00000000 00000000
0018:00000060  00000000 00000000 00000000 00000000
0018:00000070  00000000 00000000 00000000 00000000
0018:00000080  00000000 00000000 00000000 00000000
0018:00000090  00000000 00000000 00000000 00000000
0018:000000a0  00000000 00000000 00000000 00000000
0:000> db 7ffd9000
7ffd9000  00 00 01 08 ff ff ff ff-00 00 37 00 00 5d a6 77 

7ffd9010  d0 11 23 00 00 00 00 00-00 00 23 00 a0 54 a6
7ffd9020  00 00 00 00 00 00 00 00-00 00 00 00 60 40 3e 76 
7ffd9030  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
7ffd9040  30 53 a6 77 ff ff 3f 00-00 00 00 00 00 00 6f 7f 
7ffd9050  00 00 00 00 88 05 6f 7f-00 00 fa 7f 00 00 fa 7f 
7ffd9060  24 00 fd 7f 02 00 00 00-00 04 00 00 00 00 00 00 
7ffd9070  00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 
0:000> eb 7ffd9002 0
0:000> db 7ffd9000
7ffd9000  00 00 00 08 ff ff ff ff-00 00 37 00 00 5d a6 77 
7ffd9010  d0 11 23 00 00 00 00 00-00 00 23 00 a0 54 a6 77 
7ffd9020  00 00 00 00 00 00 00 00-00 00 00 00 60 40 3e 76 
7ffd9030  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
7ffd9040  30 53 a6 77 ff ff 3f 00-00 00 00 00 00 00 6f 7f 
7ffd9050  00 00 00 00 88 05 6f 7f-00 00 fa 7f 00 00 fa 7f 
7ffd9060  24 00 fd 7f 02 00 00 00-00 04 00 00 00 00 00 00 
7ffd9070  00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 

0:000> g

liuyan4794
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第十一章 软件保护技术(五)(反调试技术)
zlmm741的博客
05-17 923
文章目录反调试技术调试器状态检测调试器端口检测结论进程状态检测 反调试技术 目的 防止程序被第三方调试器调试和分析 方法 在程序启动过程中检查其是否被调试器附加 自身程序的父进程是否存在异常 进程列表中是否有正在运行的调试器 …… 实例:CheckDebugger 调试器状态检测 动态调试通过调试器 Hook 软件,进而获取软件运行时的数据。可在软件中添加检测调试器的代码,检测到软件被调试器连接则中止运行 Android SDK 提供 android.os.Debug.isDebu
如何使用WinDbg调试程序.pdf
05-29
### 如何使用WinDbg调试程序 #### WinDbg简介 WinDbg是微软提供的一款功能强大的免费源码级调试工具,适用于内核模式和用户模式的调试,并且能够调试dump文件。对于大多数程序员而言,用户模式调试是最常用的功能...
Windbg调试去掉无用输出
feixi7358的博客
03-08 1546
windbg中输入 0: kd> ed nt!Kd_SXS_Mask 0 0: kd> ed nt!Kd_FUSION_Mask 0
如何使用Windbg自动抓取禁止使用调试器程序的dump
青牛的专栏
02-11 2497
前面我们讲到了如何使用Windbg调试禁止使用调试器程序,但是如果该程序并不是每次都会发生异常,而我们又想抓取异常的第一现场,每次启动程序的时候都输入命令太麻烦了,本文主要讲述如何自动处理这个问题。 1. 使用IFEO自动加载调试器    注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image
调试技巧总结-原理和实现
weixin_34392435的博客
02-23 376
总结: 1. FindWindow。比如 FindWindowA("OLLYDBG", NULL); 2. EnumWindow函数调用后,系统枚举所有顶级窗口,为每个窗口调用一次回调函数。在回调函数中用 GetWindowText得到窗口标题,进行检测。 3. GetForeGroundWindow返回前台窗口(用户当前工作的窗口)。当程序调试时,调用这个...
windbg script ---- 禁用IsDebuggerPresent
weixin_30484739的博客
07-08 65
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32 转载于:https://www.cnblogs.com/hgy413/p/3693400.html...
浅析 WinDBG 调试器使用.pdf
11-28
浅析 WinDBG 调试器使用.pdf
windbg调试器,32位和64位
07-01
Windbg调试器是一款强大的Windows系统调试工具,由微软开发,被广泛用于软件开发、系统崩溃分析、性能优化等领域。无论是32位还是64位的系统,Windbg都能提供有效的支持。 1. **32位与64位版本**: - Windbg的32位...
windbg调试工具安装和使用说明.doc
02-28
WinDbg是微软发布的一款源码级(source-level)调试工具,可以用于Kernel内核模式调试和用户模式调试,还可以调试Dump文件。 本文档主要介绍了WinDbg工具的安装和配置方法,以及WinDbg常用命令和使用说明。
Windbg中文调试手册
最新发布
04-26
- 新用户可以参考“使用Windows调试入门”来开始使用Windbg,而调试内核模式驱动程序的初学者可以尝试“调试通用驱动程序 - ‘逐步操作’实验室(Echo内核模式)”。 **相关工具** - Windows调试工具还包括一系列...
windbg使用方法_使用 YARA 规则阻止 Windows 事件日志记录
weixin_39903872的博客
12-10 261
更多全球网络安全资讯尽在邑安全Windows事件日志加上Windows事件转发和Sysmon工具是非常强大的防御手段,他们可以检测、记录到攻击者的每一步攻击过程。显然,这对攻击者来说是个问题。在攻击者完成提权操作之前,他们逃避事件日志的方法是有限的,但是一旦完成提权,就成了一个平等的竞技场。我以前发布过一个通过加载恶意的内核驱动程序和Hook住NtTraceEvent系统调用来躲避日志记...
windbg设置为默认调试器命令
weixin_30244889的博客
12-17 316
前提条件:安装好windbg软件(默认安装位置) 以截取组态王运行系统崩溃为例: 64位系统0.文件更新替换 将Touchvew.exe以及Touchvew.pdb覆盖替换C:\Program Files (x86)\kingview下的同名文件,记得提前备份原文件 1.配置好windbg的符号路径 (Touchvew.pdb所在路径) 打开Windbg,File->Symbol ...
Windbg 设置成默认调试器
slient001的博客
05-01 2102
使用全路径运行windbg 带 -I参数,必须大写的I c:\windbg\windbg.exe  -I
Windows下反反调试技术汇总
qq138480084的博客
09-15 2537
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
关于设置默认调试器
潜行
07-27 1886
注册表位置:HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_WindowsNT_CurrentVersion_AeDebug 根据需要更改设置:vc6.0,根据安装路径而定:"C:/Program Files/Microsoft Visual Studio/Common/MSDev98/Bin/msdev.exe" -p %ld -e %ld
WinDBG 技巧:设置系统默认调试器
hanshuangfly的专栏
10-12 2887
程序崩溃时,windows系统会调用系统默认调试器,其设置在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug(注:64位windows的上的路径不同,在HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Microsoft/Windows NT/CurrentVersion/AeDebug/Debugger? )这里面有2个主要的值:Auto?= 0 的时候,系统会弹出一个对话框,
如何修改默认调试器-windbg
Leon的专栏
12-06 3801
如何修改默认调试器-windbg windows nt 程序崩溃时,自动弹出,windows停止工作,可设置默认调试器: 运行:Regedit->打开windows注册表: 32位系统:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug/Debugger 64位系统:HKEY_LOCAL_MAC
如何让阻止别人调试js
热门推荐
zzgzzg00的专栏
03-10 1万+
非服务端js因为最终要下载到客户端/浏览器编译执行,所以不可避免的要把代码泄漏出去。虽然压缩混淆可以让代码难以识别,但字符串/全局对象都不能被压缩,可以根据这方面入手来找寻突破口,进而对代码进行调试。这里抛砖引玉的分享一个阻止别人在浏览器调试代码的方法。目前多数浏览器都支持debugger断点代码,只要打开devtools,代码执行到debugger位置时,就会断点。而如若没有打开devtools...
WinDBG调试器使用指南
WinDebug 调试器使用指南 WinDebug 是一个功能强大的调试器,提供了丰富的调试功能来支持各种调试任务,包括用户态调试、内核态调试调试存储文件和远程调试等等。WinDebug 具有非常强大的灵活性和可扩展性,用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值