2种基于异常机制的反调试方法

最新推荐文章于 2021-05-05 17:41:58 发布
最新推荐文章于 2021-05-05 17:41:58 发布
阅读量3.3k 收藏 7
点赞数 1
分类专栏: 调试 win 文章标签: 调试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/47950929
版权
调试 同时被 2 个专栏收录
122 篇文章 7 订阅
订阅专栏
win
63 篇文章 4 订阅
订阅专栏
    如题,一种是利用异常处理例程进行反调试:首先安装好一个异常处理例程,然后人为抛出异常在异常处理例程中通过IsDebuggerPresent来判断程序是否被调试;另一种是利用未处理异常进行反跟踪,其原理是:当异常发生时所有异常处理例程都不能处理异常,系统线程异常处理例程将起作用,它调用 ZwQueryInformationProcess 判断是否被调试, 

如果没有调试并且程序中调用SetUnhandledExceptionFilter安装了最后异常处理例程的话,系统转向对它的调用。

    第一种方法中IsDebuggerPresent是通过返回FS寄存器上记录的地址的一些偏移量来实现的。在debugger中可以任意操作当前进程内存地址上的值,所以只需要用调试器把[[FS:30]:2的值修改成0,IsDebuggerPresent就会返回false,导致判断失败。相比第二种方法中UnhandledExceptionFilter是否调用取决于系统内核的判断。用户态的调试器要想改变这个行为就得颇费功夫了。下面我将依次展示两种反调试方法。

    第一种方法,通过在异常处理例程中判断IsDebuggerPresent的返回值:

#include <windows.h>

int AntiDebugInSEH(EXCEPTION_POINTERS* ExceptionInfo)
{
	DWORD state = 0x00;

	__asm
	{
		mov eax,dword ptr fs:[30h];
		movzx eax, byte ptr ds:[eax+2h];
		mov state,eax;
	}

	ExceptionInfo->ContextRecord->Eax = state;
	ExceptionInfo->ContextRecord->Eip = 0x06+(DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress;
	return EXCEPTION_CONTINUE_EXECUTION;
}

int main()
{
	int i=0;
	__try
	{
		__asm
		{
			xor eax,eax;
			mov dword ptr [eax],0; //触发异常
		}
		__asm
		{
                    //异常返回后,eax的值为AntiDebugInSEH中ExceptionInfo->ContextRecord->Eax设定的值                    
                    mov i,eax
		}
		if(i==1)
		{}
		else
		{
			MessageBox(NULL,"","",0);
		}
		i++;
	}
	__except(AntiDebugInSEH(GetExceptionInformation()))
	{
		
	}
}
上面这段代码,如果正常运行将弹出对话框,如果调试运行对话框是看不到了。文章中也提到了,可以通过修改[[fs:30]:2]处的内存地址使IsDebuggerPresent失效,好的,祭出windbg:

进入异常时,[fs:[30h]:2]处的值为0x0001,即正在调试状态:

0:000> r eax
eax=7ffd5000
0:000> dd eax
7ffd5000  00010000 ffffffff 00400000 76fb8880
7ffd5010  00291940 00000000 00290000 76fb8380
为了使IsDebuggerPresent失效,修改0x7ffd5000处的内存值: 

0:000> ed 7ffd5000  0x00000000
0:000> dd eax
7ffd5000  00000000 ffffffff 00400000 76fb8880
7ffd5010  00291940 00000000 00290000 76fb8380
当程序从异常处理例程返回时,又可以见到对话框了:


接下来看下第二种反调试方法:

#include <windows.h>

LONG WINAPI UnhandledExcept(EXCEPTION_POINTERS *pExpInfo)  
{
	if(pExpInfo->ExceptionRecord->ExceptionCode != EXCEPTION_BREAKPOINT)
	{
		return EXCEPTION_EXECUTE_HANDLER;
	}
	else
	{
		pExpInfo->ContextRecord->Eip = (DWORD)(pExpInfo->ContextRecord->Eip+1);
		pExpInfo->ContextRecord->Eax = 0x0000FEEE;
		return EXCEPTION_CONTINUE_EXECUTION;
	}
}

int main()
{
	HMODULE hMod = LoadLibrary("kernel32.dll");
	DWORD* funcAddr = (DWORD*)GetProcAddress(hMod,"ExitProcess");
	
	SetUnhandledExceptionFilter(UnhandledExcept);
	_asm int 3;
	__asm
	{
		cmp ax,0xFEEE;
		jz next;
		push 0;
		mov eax,funcAddr;
		call eax;
next:
	}
	{
		MessageBox(NULL,"","",MB_OK);
	}
}
这段代码,还是读者自己试下,我暂时没想到如果绕过检测的方法。

参考连接:

http://www.52pojie.cn/forum.php?mod=viewthread&tid=16609

http://bbs.pediy.com/showthread.php?t=9023

Eugene800
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于调试的JavaScript代码保护方法研究
08-09
### 基于调试的JavaScript代码保护方法研究 #### 概述 随着Web2.0的发展,用户对于Web应用程序的交互性和功能性提出了更高的要求。HTML5作为一新兴的技术标准,为Web应用程序带来了本地化功能的支持,例如本地...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多调试技术可以达到调试效果。这里介绍当前常用的几调试技术,同时也会介绍一些逃避
调试技术- IsDebuggerPresent,原理 与 调试
desword-- 技术,杂文。
07-25 6528
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
Windows异常处理
liaozhilong88的博客
01-18 586
异常机制,就是为了让计算机能够更好的处理程序运行期间产生的错误,从编程的角度来看,能够将错误的处理与程序的逻辑分隔开。使得我们可以集中精力开发关键功能,而把程序可能出现的异常统一管理。 Windows提供了异常处理的机制,使得你有机会挽救自己即将崩溃的程序,大体上来说它提供了以下处理异常机制: SEH-结构化异常处理 VEH-向量化异常处理 VCH-向量化异常处...
调试——Windows异常-SEH
nidongla的博客
05-05 380
调试——Windows异常-SEH京东优惠券 https://m.fenfaw.net/ 概念: SEH:Structured Exception Handling SEH是Windows默认的异常处理机制 如何使用 在代码中使用 __try​​__except()//结构类型的语句 __except()小括号里面填写表达式,表达式为真的时候执行里面的内容 __try里面包含的是可能触发异常的语句,except里面包含的是出现了异常后执行的操作。 __except()括号中表达式的取值范围:.
INT 3 异常调试
weixin_37740119的博客
01-22 931
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
易语言源码易语言调试模块源码.rar
02-18
4. **异常处理**:通过精心设计的异常处理机制调试模块可以探测到调试器试图中断或控制程序执行的行为。例如,通过在关键点引发异常,然后观察异常处理流程来判断是否存在调试器。 5. **动态行为**:调试模块...
易语言SEH调试
07-21
在易语言中,SEH(结构化异常处理)调试技术是一防止恶意调试和分析程序的方法。SEH是Windows操作系统中处理异常的一机制,而调试则是通过检测调试器的存在来保护程序不被逆向工程分析。 SEH调试的基本...
安卓调试-解决方案一
06-22
6. 检测异常行为:某些调试器在运行时会触发特定的异常,例如`SIGTRAP`,检测这些异常可以作为调试的一手段。 7. 时间间隔检查:描述中提到的方案可能采用了定时检测的方式,即在应用运行过程中定期检查调试...
对ValidAccessMask改写 x64(调试) 建议新手来学习
02-08
最精简的代码对ValidAccessMask改写 x64(调试) 代码非常精简 实际也就几个流程 定位SSDT 这个我是用读msr寄存器的 定位ValidAccessMask用的是特征码定位 最后通过Mdl映射到内存描述表再改写(多此一举 只是给你们更简单的理解`) 一个线程循环对该地址不断改写 知道驱动退出 也就这几个流程 我直接上源码把 代码非常精简 不超过400行
SetUnhandledExceptionFilter和C / C ++运行时库
04-08
本文介绍了SetUnhandledExceptionFilter与CRT一起使用的修复程序。
IDA不能F5汇编成为伪代码的问题原因...
huaiyingdetective的博客
10-21 6151
32位IDA才能F5,64位的不行
AES CBC 逆向分析,异常处理,调试
playmaker的博客
07-23 856
AES CBC 逆向分析,异常处理,调试 AES CBC 拿到题目在IDA中看见了类似AES的图标 放入PEID的KANAL插件查看 找到了AES的S盒和BASE64的S盒,初步确定了内部的加密算法为AES和base64。 来到关键函数 4020D0处此处对输入字符串进行了加密。进入该函数输入字符串首先和sctfsctfsctfsctf进行了异或 之后又于sycloversyclover进...
od调试的对策(使用除0异常
hongyanghust的博客
11-30 2723
除0指令的二进制为: BF 00 00 00 00 99 F7 FF MOV  edi 0 cdq idiv    edi
动态调试
weixin_30929011的博客
03-19 252
1.基于异常调试 (1) 基本原理: 注册SEH后, 正常情况下发生异常会转入SEH处理流程, 但是如果这时处于被调试状态则异常事件会先发给调试器. 基于这个原理就能探测到进程是否是 被调试运行. (2) 基于int 3 断点异常调试 故意隔一段代码就调用一个会触发int 3异常的函数, 而且这个函数最后会退出进程或者故意运行到非法地址或者进入一段循环的长的垃圾代码. 如果...
调试与绕过的奇淫技巧
u011661836的博客
09-05 2988
调试与绕过的奇淫技巧 Essence Sharing | 干货分享 Aug 30 1 / 6 Aug 30 17h ago 转:http://www.iosre.com/t/to
逆向——调试
wk19951125的博客
04-15 1060
逆向——基础分析基础分析(二) 基础分析(二)
调试总结
zhuhuibeishadiao
04-04 5243
TP:3方法适用于win7 x64 ~ win10 一:1.恢复调试权限 2.结束11号线程 3.恢复所有线程 二:秒杀TP方法:CE使用VEH模式 结束11号线程 三:手动过TP:先于TX游戏运行OD,结束11号线程 直接附加进程 x86方法: 1.以上随便一 + IAT HOOK Tesafe.sys MmIsAddressVaild 对挂钩函数地址进程过滤 2.以上随便一
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值