2种内核级反用户态调试方法

最新推荐文章于 2024-08-10 07:09:00 发布
最新推荐文章于 2024-08-10 07:09:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: win驱动 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/78070141
版权

0.前言

    很久前写过一些应用层的反调试的文章,这类反调试方法的好处是易于实现,但缺点是很容易被绕过----保护因此失效。我们的危机公关手段是:将反调试功能放到内核中用驱动程序实现,以增强程序的反调试能力。由于vista后patch guard的影响,因此本文以Xp系统为例,其他系统需要对代码中的硬编码进行调整。

1.调试对象(DEBUG_OBJECT)介绍

    当调试器创建进程时,会创建一系列调试消息,如:进程创建消息,模块加载消息。对于调试器附加到运行中进程,亦会依次产生这些消息(确切的说是杜撰调试消息)。内核将这些消息通过Debug Port对象发送给调试器。另外当被调试进程触发异常时,内核收到异常消息后,亦会通过Debug Port把消息传给调试器。可见Debug Port是联系调试器和被调试器的纽带。内核会为调试器进程创建一个DEBUG_OBJECT对象,并将对象地址保存在进程_EPROCESS!DebugPort中;当调试器创建/附加被调试进程时,内核会把同一个DEBUG_OBJECT对象的地址保存到被调试进程的_EPROCESS!DebugPort字段。 
kd> dt _EPROCESS -y DebugPort
nt!_EPROCESS
   +0x0bc DebugPort : Ptr32 Void

2.方法1:DebugPort清零    

    基于上面的介绍,我们可以这样实现反调试功能:检测所有进程的_EPROCESS!DebugPort字段,如果发现该字段非空,可以当前系统中至少存在着调试器。出于演示目的,我简单的把_EPROCESS!DebugPort字段清0,这就把调试器或者被调试进程进行消息传递的纽带的一端给切断了。下面来看下代码: 
#include <Ntifs.h>
#include <wdm.h>

#ifdef __cplusplus
extern "C" {
#endif

KSTART_ROUTINE DetectDbgThd;
HANDLE detectThdHnd = 0UL;

VOID DriverUnload(PDRIVER_OBJECT);

NTSTATUS DriverEntry(PDRIVER_OBJECT drvObj, PUNICODE_STRING regPath)
{
	NTSTATUS ldStatus = STATUS_SUCCESS;
	OBJECT_ATTRIBUTES thdAttr;
	CLIENT_ID cid;

	_asm int 3;

	UNREFERENCED_PARAMETER(regPath);

	drvObj->DriverUnload = DriverUnload;

	memset(&thdAttr, 0, sizeof(OBJECT_ATTRIBUTES));
	thdAttr.Length = sizeof(OBJECT_ATTRIBUTES);
	ldStatus = PsCreateSystemThread(&detectThdHnd, 0,
		&thdAttr, 0,
		&cid,
		DetectDbgThd, NULL);
	if (!NT_SUCCESS(ldStatus))
		return ldStatus;

	return STATUS_SUCCESS;
}

VOID DriverUnload(IN PDRIVER_OBJECT drvObj)
{
	UNREFERENCED_PARAMETER(drvObj);
	ZwClose(detectThdHnd);
	return;
}

PLIST_ENTRY GetPsActiveProcessHeadAddr()
{
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	NTSTATUS status;
	PEPROCESS eProc = NULL;

	status = PsLookupProcessByProcessId((HANDLE)4, &eProc);
	if (!NT_SUCCESS(status))
		return NULL;
#ifdef WIN32_XP		
	PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0x88))->Blink;
#elif WIN32_7
	PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0xb8))->Blink;
#endif
	//PsActiveProcessHeadAddr = eProc->ActiveProcessLinks->Blink;
	ObDereferenceObject(eProc);

	return PsActiveProcessHeadAddr;
}

VOID DetectDbgThd(void* thdCtx)
{
	PEPROCESS eProc = NULL;
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	LIST_ENTRY* pos = NULL;
	LARGE_INTEGER period = RtlConvertLongToLargeInteger(-10*1000);
	DWORD32* procDebugPortAddr = NULL;
	UNREFERENCED_PARAMETER(thdCtx);

	PsActiveProcessHeadAddr = GetPsActiveProcessHeadAddr();
	if (!PsActiveProcessHeadAddr)
		return;

	while(1)
	{
		pos = PsActiveProcessHeadAddr->Blink;
		while (pos != PsActiveProcessHeadAddr)
		{
			//eProc = (PEPROCESS)CONTAINER_OF(pos, EPROCESS, ActiveProcessLinks);
#ifdef WIN32_XP
			eProc = (PEPROCESS)((char*)pos - 0x88);
#elif WIN32_7
			eProc = (PEPROCESS)((char*)pos - 0xb8);
#endif
			//0xBC==EPROCESS!DebugPort
#ifdef WIN32_XP	
			procDebugPortAddr = (DWORD32*)(((char*)eProc) + 0xBC);
#elif WIN32_7
			procDebugPortAddr = (DWORD32*)(((char*)eProc) + 0xeC);
#endif			
			if(*procDebugPortAddr != 0x00UL)
			{
				//KillProcess(eProc);
				*procDebugPortAddr = 0x00UL;
			}

			pos = pos->Blink;
		}
		
		KeDelayExecutionThread(KernelMode, FALSE, &period);
	}
}

#ifdef __cplusplus
}
#endif
    DriverEntry函数仅仅创建DetectDbgThd线程后就退出。GetPsActiveProcessHeadAddr用以获得系统中进程链表地址。DetectDbgThd每间隔1s遍历系统中的所有进程,并获得进程对应的_EPROCESS结构。进程通过_EPROCESS!ActiveProcessLinks字段加入PsActiveProcessHead形成链表。由于DDK并没有导出这个结构,所以要通过windbg获取字段偏移,并在代码中硬编码,以下是Xp sp3该域的偏移: 
kd> vertarget
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp.080413-2111
kd> dt _EPROCESS -y ActiveProcessLinks
nt!_EPROCESS
   +0x088 ActiveProcessLinks : _LIST_ENTRY
获得ActiveProcessLinks域的地址后可以马上获得_EPROCESS对象地址和_EPROCESS!DebugPort地址,之后直接把_EPROCESS!DebugPort指针值改为0即可实现DebugPort清零。 
kd> dt _EPROCESS -y DebugPort
nt!_EPROCESS
   +0x0bc DebugPort : Ptr32 Void
    让我们加载驱动,以调试calc.exe为例,看下反调试效果(上面代码编译后生成的驱动名为DetectDbg.sys):
图1.加载驱动,并分别启动windbg.exe和calc.exe,准备附加到进程。

图2.windbg附加到calc后,每次中断调试目标,都会显示红框中的内容,意思是 调试器进入了挂起中断状态(准调试状态,对这个状态的解释可以参考张银奎<软件调试> 第10.6.7节)此时calc虽然处于被挂起状态,可以查看内存值,但不能被跟踪(如单步)和下断点。再次运行(F5)调试目标,calc恢复到运行状态。
附注:调试进程被挂起和恢复是因为调试子系统调用了DbgkpSuspendProcess/DbgkpResumeProcess将calc.exe挂起/恢复,这不需要经过DebugPort即可实现。至于可以查看内存值,是因为windbg只需通过ReadProcessMemory就能获得calc的内存值,也不需要DebugPort参与。

3.方法2:Teb!DbgSsReserve句柄清零

   这个方法其实是上面DebugPort清零的衍生版,网上暂时没有找到同样的实现,应该独我一家 生气(没仔细找是否有雷同)~不过这个标志位和DebugPort有点区别,首先只有调试器进程才有这个标志位;其次,它位于用户空间,由TEB保存。更进一步讲,位于调试器工作线程内部,调试器的UI线程也没有这个标志位;最后,它是一个句柄,指向内核为调试器进程创建的DEBUG_OBJECT对象。
    要实现Teb!DbgSsReserve句柄清零,首先要搜索具有调试特征的进程;搜索到目标进程后,要从当前线程空间Attach到目标进程空间,这样才能从目标进程空间读到有效的内存(虚拟内存);最后,用ZwClose关闭句柄。下面,我们来看下代码: 
VOID DetectDbgThd(void* thdCtx)
{
	PEPROCESS eProc = NULL;
	PETHREAD eThd = NULL;
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	LIST_ENTRY* procPos = NULL;
	LIST_ENTRY* thdPos = NULL;
	LIST_ENTRY thdListHead;
	KAPC_STATE apcState;
	LARGE_INTEGER period = RtlConvertLongToLargeInteger(-10*1000);
	DWORD32* thdTebAddr = NULL;
	DWORD32* dbgSsReserved = NULL;
	
	UNREFERENCED_PARAMETER(thdCtx);

	PsActiveProcessHeadAddr = GetPsActiveProcessHeadAddr();
	if (!PsActiveProcessHeadAddr)
		return;

	while(1)
	{
		procPos = PsActiveProcessHeadAddr->Blink;
		while (procPos != PsActiveProcessHeadAddr)
		{
			//eProc = (PEPROCESS)CONTAINER_OF(pos, EPROCESS, ActiveProcessLinks);
#ifdef WIN32_XP
			//+0x088 EPROCESS!ActiveProcessLinks : _LIST_ENTRY
			eProc = (PEPROCESS)((char*)procPos - 0x88);
#endif

#ifdef WIN32_XP
			//+0x190 EPROCESS!ThreadListHead : _LIST_ENTRY
			//thdListHead = (LIST_ENTRY*)((char*)eProc+0x190);
			//memcpy(&thdListHead,((char*)eProc+0x190),sizeof(LIST_ENTRY));
#endif
			//pos = ListHead->Blink;
			thdPos = (LIST_ENTRY*)(*(DWORD32*)((char*)eProc+0x190));
			//while(pos != &ListHead)
			while(thdPos != (LIST_ENTRY*)((char*)eProc+0x190))
			{
#ifdef WIN32_XP
				//+0x22c ETHREAD!ThreadListEntry  : _LIST_ENTRY
				eThd = (PETHREAD)((char*)thdPos - 0x22c);
				//+0x020 ETHREAD!KTHREAD!Teb : Ptr32 Void
				thdTebAddr = (*(DWORD32*)((char*)eThd+0x20));
				if(!thdTebAddr)
					goto Next;
#endif
				KeStackAttachProcess(eProc, &apcState);

#ifdef WIN32_XP
				//+0xf20 Teb!DbgSsReserved    : [2] Ptr32 Void
				dbgSsReserved = ((char*)thdTebAddr+0xf20);
#endif				
				/*
				DbgSsReserved[0]:is reserved
				DbgSsReserved[1]:for debuggee process, DbgSsReserved[0] stand for handler of debug-object
				*/
				if(dbgSsReserved[1])
				{
					ZwClose(dbgSsReserved[1]);
					dbgSsReserved[1] = 0x00UL;
				}
				
				KeUnstackDetachProcess(&apcState);
			Next:					
				thdPos = thdPos->Blink;
			}
			
			procPos = procPos->Blink;
		}
		
		KeDelayExecutionThread(KernelMode, FALSE, &period);
	}
}
加载上面的代码后,调试器就无法打开和附加到目标进程。不过有个限制windbg.exe的实现有点特殊,DbgSsReserve字段一直为空,所以上面的代码对windbg无能为力~

代码链接:

Eugene800
关注
专栏目录
详解Linux内核调试工具kdump
dvlinker的技术专栏
07-30 8159
详解Linux内核调试工具kdump。
【值得收藏】Linux内核原理理解
m0_74282605的博客
11-14 1029
当进程再次被调度回来的时候,通过cpu_context中保存的ip回到了cpu_switch_to的下一条指令继续执行,而由于cpu_context中保存的sp导致当前进程回到自己的内核栈,经过一系列的内核栈的出栈处理,最后将原来保存在pt_regs中的通用寄存器的值恢复到了通用寄存器,这样进程回到用户空间就可以继续沿着被中断打断的下一条指令开始执行,用户栈也回到了被打断之前的位置,而进程访问的指令数据做地址转化也都是从自己的pgd开始进行一切对用户来说就好像没有发生一样。文件的层表示关系。
内核调试
liuhaidon1992的博客
01-08 1348
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
调试
mslieng1011的博客
11-05 280
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
windows调试
最新发布
zhangyihu321的专栏
08-10 931
1. 检测是否正在被调试(使用 IsDebuggerPresent API):```cpp// 检测到调试器,执行相应操作// 或者其他操作```2. 使用 NtQueryInformationProcess 检测调试器:```cpp```3. 检查调试端口:```cpp= FALSE;```4. 使用异常处理来检测调试器:```cpp__try?
软件调试详解
hongduilanjun的博客
05-31 2164
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
内核调试方法
神恰以泽_CSDN
07-24 5138
大家好,我是你们的工具人老吴。 今天,和大家分享一下几个 Linux 内核调试小技巧。 当你遇到一个 bug,你调试了 1 年半载都解决不了,这其实一件好事。 因为它会时刻提醒你平时写代码时要谨慎、要多看书、多去认识一些更资深的人,别问我为什么会有这样的感受,因为是亲身经历~ 掌握一个调试工具是需要学习成本的,这里只是列举我自己会用到的工具,如果有某个你觉得特别牛逼的工具而我没提到的话,请原谅我。 好,下面开始正文。 最重要的是:思路 调试 bug 时不要急着做实验,先梳理一下思路。 一般
内核调试手段
weixin_42031299的博客
05-03 1531
1、内核调试配置选项 内核拥有多项用于调试的功能,但是这些功能会造成额外的输出并导致性能下降,因此,内核通常都是禁止掉调试功能。 内核调试相关的配置项主要集中在内核配置菜单"Kernel hacking"中,在使用下面的调试手段时,先确保内核相关的调试 配置项已经开启。 2、BUG()和BUG_ON() #ifndef HAVE_ARCH_BUG #define BUG() do { \ printk("BUG: failure at %s:%d/%s()!\n", __FILE__, __LINE_
Windows内核安全编程从入门到实践(高编程)
04-17
2. **内存管理**:内核模式下的内存管理不同于用户模式。了解如何安全地分配、释放和保护内存,避免缓冲区溢出、双重释放等常见错误,对于防止漏洞至关重要。 3. **线程与进程管理**:理解线程上下文切换、同步机制...
使用内核模式调试调试Windows驱动程序
由于驱动程序运行在内核模式下,因此普通的用户调试器已经无法满足调试需求,而内核模式调试器则能够提供更加强大的调试功能。 内核模式调试器广泛应用于操作系统开发、驱动程序开发、安全软件开发等领域,帮助...
【升】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件的占用,具有学习和商业价值(By超用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄来获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状。可能的错误状码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核调试插件
03-08
AA调试 内核调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
9android安卓调试手段代码实现(附详细代码).pdf
11-26
9方法实现Android的调试并有详细的代码实现。包括动和静调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试,Android逆向必备
R3 x64枚举进程句柄
07-04 304
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
Linux内核日志调试方法
lihuan680680的博客
10-24 4034
本文档主要介绍在Linux系统下常用的一些内核日志调试方法  oops: 内核告知用户有不幸发生的最常用的方式。  进程上下文:进程在执行的时候,CPU的所有寄存器中的值、进程的状以及堆栈上的内容,当内核需要切换到另一个进程时,它需要保存当前进程的所有状,即保存当前进程的进程上下文,以便再次执行该进程时,能够恢复切换时的状,继续执行。  中断上下文中:就是硬件通过触发信号,导致内核调用中断处理程序,进入内核空间,这个过程中,硬件的一些变量和参数也要传递给内核内核通过这些参数进行中断处理。
Windows 下常见的调试方法
r250414958的博客
11-15 1169
稍稍总结一下在Crack或Rervese中比较常见的一些调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。 ①最简单也是最基础的,Windows提供的API接口: IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试。 if (IsDebuggerPresent()) //API接口 { ...
驱动读写应用程序内存
吾无法无天的博客
08-26 7600
用驱动读写应用程序的内存
XX游戏R3层调试 初探
把梦想放飞在蓝色的天空里...
12-24 8563
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
Linux内核用户内存共享示例:通过proc文件传递地址
在Linux操作系统中,内核用户是两不同的权限别,内核拥有最高的权限,而用户则是常规应用程序运行的环境。内存共享在这两个模式间起着关键作用,特别是在系统编程中,为了提高效率或特定场景下的数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值