2种内核级反用户态调试方法

最新推荐文章于 2024-08-10 07:09:00 发布
最新推荐文章于 2024-08-10 07:09:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: win驱动 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/78070141
版权

0.前言

    很久前写过一些应用层的反调试的文章,这类反调试方法的好处是易于实现,但缺点是很容易被绕过----保护因此失效。我们的危机公关手段是:将反调试功能放到内核中用驱动程序实现,以增强程序的反调试能力。由于vista后patch guard的影响,因此本文以Xp系统为例,其他系统需要对代码中的硬编码进行调整。

1.调试对象(DEBUG_OBJECT)介绍

    当调试器创建进程时,会创建一系列调试消息,如:进程创建消息,模块加载消息。对于调试器附加到运行中进程,亦会依次产生这些消息(确切的说是杜撰调试消息)。内核将这些消息通过Debug Port对象发送给调试器。另外当被调试进程触发异常时,内核收到异常消息后,亦会通过Debug Port把消息传给调试器。可见Debug Port是联系调试器和被调试器的纽带。内核会为调试器进程创建一个DEBUG_OBJECT对象,并将对象地址保存在进程_EPROCESS!DebugPort中;当调试器创建/附加被调试进程时,内核会把同一个DEBUG_OBJECT对象的地址保存到被调试进程的_EPROCESS!DebugPort字段。 
kd> dt _EPROCESS -y DebugPort
nt!_EPROCESS
   +0x0bc DebugPort : Ptr32 Void

2.方法1:DebugPort清零    

    基于上面的介绍,我们可以这样实现反调试功能:检测所有进程的_EPROCESS!DebugPort字段,如果发现该字段非空,可以当前系统中至少存在着调试器。出于演示目的,我简单的把_EPROCESS!DebugPort字段清0,这就把调试器或者被调试进程进行消息传递的纽带的一端给切断了。下面来看下代码: 
#include <Ntifs.h>
#include <wdm.h>

#ifdef __cplusplus
extern "C" {
#endif

KSTART_ROUTINE DetectDbgThd;
HANDLE detectThdHnd = 0UL;

VOID DriverUnload(PDRIVER_OBJECT);

NTSTATUS DriverEntry(PDRIVER_OBJECT drvObj, PUNICODE_STRING regPath)
{
	NTSTATUS ldStatus = STATUS_SUCCESS;
	OBJECT_ATTRIBUTES thdAttr;
	CLIENT_ID cid;

	_asm int 3;

	UNREFERENCED_PARAMETER(regPath);

	drvObj->DriverUnload = DriverUnload;

	memset(&thdAttr, 0, sizeof(OBJECT_ATTRIBUTES));
	thdAttr.Length = sizeof(OBJECT_ATTRIBUTES);
	ldStatus = PsCreateSystemThread(&detectThdHnd, 0,
		&thdAttr, 0,
		&cid,
		DetectDbgThd, NULL);
	if (!NT_SUCCESS(ldStatus))
		return ldStatus;

	return STATUS_SUCCESS;
}

VOID DriverUnload(IN PDRIVER_OBJECT drvObj)
{
	UNREFERENCED_PARAMETER(drvObj);
	ZwClose(detectThdHnd);
	return;
}

PLIST_ENTRY GetPsActiveProcessHeadAddr()
{
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	NTSTATUS status;
	PEPROCESS eProc = NULL;

	status = PsLookupProcessByProcessId((HANDLE)4, &eProc);
	if (!NT_SUCCESS(status))
		return NULL;
#ifdef WIN32_XP		
	PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0x88))->Blink;
#elif WIN32_7
	PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0xb8))->Blink;
#endif
	//PsActiveProcessHeadAddr = eProc->ActiveProcessLinks->Blink;
	ObDereferenceObject(eProc);

	return PsActiveProcessHeadAddr;
}

VOID DetectDbgThd(void* thdCtx)
{
	PEPROCESS eProc = NULL;
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	LIST_ENTRY* pos = NULL;
	LARGE_INTEGER period = RtlConvertLongToLargeInteger(-10*1000);
	DWORD32* procDebugPortAddr = NULL;
	UNREFERENCED_PARAMETER(thdCtx);

	PsActiveProcessHeadAddr = GetPsActiveProcessHeadAddr();
	if (!PsActiveProcessHeadAddr)
		return;

	while(1)
	{
		pos = PsActiveProcessHeadAddr->Blink;
		while (pos != PsActiveProcessHeadAddr)
		{
			//eProc = (PEPROCESS)CONTAINER_OF(pos, EPROCESS, ActiveProcessLinks);
#ifdef WIN32_XP
			eProc = (PEPROCESS)((char*)pos - 0x88);
#elif WIN32_7
			eProc = (PEPROCESS)((char*)pos - 0xb8);
#endif
			//0xBC==EPROCESS!DebugPort
#ifdef WIN32_XP	
			procDebugPortAddr = (DWORD32*)(((char*)eProc) + 0xBC);
#elif WIN32_7
			procDebugPortAddr = (DWORD32*)(((char*)eProc) + 0xeC);
#endif			
			if(*procDebugPortAddr != 0x00UL)
			{
				//KillProcess(eProc);
				*procDebugPortAddr = 0x00UL;
			}

			pos = pos->Blink;
		}
		
		KeDelayExecutionThread(KernelMode, FALSE, &period);
	}
}

#ifdef __cplusplus
}
#endif
    DriverEntry函数仅仅创建DetectDbgThd线程后就退出。GetPsActiveProcessHeadAddr用以获得系统中进程链表地址。DetectDbgThd每间隔1s遍历系统中的所有进程,并获得进程对应的_EPROCESS结构。进程通过_EPROCESS!ActiveProcessLinks字段加入PsActiveProcessHead形成链表。由于DDK并没有导出这个结构,所以要通过windbg获取字段偏移,并在代码中硬编码,以下是Xp sp3该域的偏移: 
kd> vertarget
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp.080413-2111
kd> dt _EPROCESS -y ActiveProcessLinks
nt!_EPROCESS
   +0x088 ActiveProcessLinks : _LIST_ENTRY
获得ActiveProcessLinks域的地址后可以马上获得_EPROCESS对象地址和_EPROCESS!DebugPort地址,之后直接把_EPROCESS!DebugPort指针值改为0即可实现DebugPort清零。 
kd> dt _EPROCESS -y DebugPort
nt!_EPROCESS
   +0x0bc DebugPort : Ptr32 Void
    让我们加载驱动,以调试calc.exe为例,看下反调试效果(上面代码编译后生成的驱动名为DetectDbg.sys):
图1.加载驱动,并分别启动windbg.exe和calc.exe,准备附加到进程。

图2.windbg附加到calc后,每次中断调试目标,都会显示红框中的内容,意思是 调试器进入了挂起中断状态(准调试状态,对这个状态的解释可以参考张银奎<软件调试> 第10.6.7节)此时calc虽然处于被挂起状态,可以查看内存值,但不能被跟踪(如单步)和下断点。再次运行(F5)调试目标,calc恢复到运行状态。
附注:调试进程被挂起和恢复是因为调试子系统调用了DbgkpSuspendProcess/DbgkpResumeProcess将calc.exe挂起/恢复,这不需要经过DebugPort即可实现。至于可以查看内存值,是因为windbg只需通过ReadProcessMemory就能获得calc的内存值,也不需要DebugPort参与。

3.方法2:Teb!DbgSsReserve句柄清零

   这个方法其实是上面DebugPort清零的衍生版,网上暂时没有找到同样的实现,应该独我一家 生气(没仔细找是否有雷同)~不过这个标志位和DebugPort有点区别,首先只有调试器进程才有这个标志位;其次,它位于用户空间,由TEB保存。更进一步讲,位于调试器工作线程内部,调试器的UI线程也没有这个标志位;最后,它是一个句柄,指向内核为调试器进程创建的DEBUG_OBJECT对象。
    要实现Teb!DbgSsReserve句柄清零,首先要搜索具有调试特征的进程;搜索到目标进程后,要从当前线程空间Attach到目标进程空间,这样才能从目标进程空间读到有效的内存(虚拟内存);最后,用ZwClose关闭句柄。下面,我们来看下代码: 
VOID DetectDbgThd(void* thdCtx)
{
	PEPROCESS eProc = NULL;
	PETHREAD eThd = NULL;
	PLIST_ENTRY PsActiveProcessHeadAddr = NULL;
	LIST_ENTRY* procPos = NULL;
	LIST_ENTRY* thdPos = NULL;
	LIST_ENTRY thdListHead;
	KAPC_STATE apcState;
	LARGE_INTEGER period = RtlConvertLongToLargeInteger(-10*1000);
	DWORD32* thdTebAddr = NULL;
	DWORD32* dbgSsReserved = NULL;
	
	UNREFERENCED_PARAMETER(thdCtx);

	PsActiveProcessHeadAddr = GetPsActiveProcessHeadAddr();
	if (!PsActiveProcessHeadAddr)
		return;

	while(1)
	{
		procPos = PsActiveProcessHeadAddr->Blink;
		while (procPos != PsActiveProcessHeadAddr)
		{
			//eProc = (PEPROCESS)CONTAINER_OF(pos, EPROCESS, ActiveProcessLinks);
#ifdef WIN32_XP
			//+0x088 EPROCESS!ActiveProcessLinks : _LIST_ENTRY
			eProc = (PEPROCESS)((char*)procPos - 0x88);
#endif

#ifdef WIN32_XP
			//+0x190 EPROCESS!ThreadListHead : _LIST_ENTRY
			//thdListHead = (LIST_ENTRY*)((char*)eProc+0x190);
			//memcpy(&thdListHead,((char*)eProc+0x190),sizeof(LIST_ENTRY));
#endif
			//pos = ListHead->Blink;
			thdPos = (LIST_ENTRY*)(*(DWORD32*)((char*)eProc+0x190));
			//while(pos != &ListHead)
			while(thdPos != (LIST_ENTRY*)((char*)eProc+0x190))
			{
#ifdef WIN32_XP
				//+0x22c ETHREAD!ThreadListEntry  : _LIST_ENTRY
				eThd = (PETHREAD)((char*)thdPos - 0x22c);
				//+0x020 ETHREAD!KTHREAD!Teb : Ptr32 Void
				thdTebAddr = (*(DWORD32*)((char*)eThd+0x20));
				if(!thdTebAddr)
					goto Next;
#endif
				KeStackAttachProcess(eProc, &apcState);

#ifdef WIN32_XP
				//+0xf20 Teb!DbgSsReserved    : [2] Ptr32 Void
				dbgSsReserved = ((char*)thdTebAddr+0xf20);
#endif				
				/*
				DbgSsReserved[0]:is reserved
				DbgSsReserved[1]:for debuggee process, DbgSsReserved[0] stand for handler of debug-object
				*/
				if(dbgSsReserved[1])
				{
					ZwClose(dbgSsReserved[1]);
					dbgSsReserved[1] = 0x00UL;
				}
				
				KeUnstackDetachProcess(&apcState);
			Next:					
				thdPos = thdPos->Blink;
			}
			
			procPos = procPos->Blink;
		}
		
		KeDelayExecutionThread(KernelMode, FALSE, &period);
	}
}
加载上面的代码后,调试器就无法打开和附加到目标进程。不过有个限制windbg.exe的实现有点特殊,DbgSsReserve字段一直为空,所以上面的代码对windbg无能为力~

代码链接:

Eugene800
关注
专栏目录
详解Linux内核调试工具kdump
dvlinker的技术专栏
07-30 8212
详解Linux内核调试工具kdump。
【值得收藏】Linux内核原理理解
m0_74282605的博客
11-14 1040
当进程再次被调度回来的时候,通过cpu_context中保存的ip回到了cpu_switch_to的下一条指令继续执行,而由于cpu_context中保存的sp导致当前进程回到自己的内核栈,经过一系列的内核栈的出栈处理,最后将原来保存在pt_regs中的通用寄存器的值恢复到了通用寄存器,这样进程回到用户空间就可以继续沿着被中断打断的下一条指令开始执行,用户栈也回到了被打断之前的位置,而进程访问的指令数据做地址转化也都是从自己的pgd开始进行一切对用户来说就好像没有发生一样。文件的层表示关系。
内核调试
liuhaidon1992的博客
01-08 1361
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
调试
mslieng1011的博客
11-05 282
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
windows调试
最新发布
zhangyihu321的专栏
08-10 937
1. 检测是否正在被调试(使用 IsDebuggerPresent API):```cpp// 检测到调试器,执行相应操作// 或者其他操作```2. 使用 NtQueryInformationProcess 检测调试器:```cpp```3. 检查调试端口:```cpp= FALSE;```4. 使用异常处理来检测调试器:```cpp__try?
软件调试详解
hongduilanjun的博客
05-31 2175
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
PsCreateSystemThread
125096
08-01 1061
HANDLE hSystemThread,hMyThread; PsCreateSystemThread(&hSystemThread,NULL,NULL,NULL,NULL,ThreadSystemStart,NULL); PsCreateSystemThread(&hMyThread,NULL,NULL,NtCurrentProcess(),NULL,ThreadUserStart,NULL)
内核中的定时等待
qq_41490873的博客
07-27 1126
第一方法:使用KeWaitForSingleObject 使用KeWaitForSingleObject函数来实现等待,让这个函数等待一个没有信号的内核对象。 //单位是微秒 1秒=1000毫秒=1000*1000微秒 VOID WaitMicroSecond(ULONG ulMircoSecond) { KEVENT kEvent; //初始化一个未激发的内核事件 KeInitializeEvent(&kEvent, SynchronizationEvent, FALSE); //等
Windows内核安全编程从入门到实践(高编程)
04-17
2. **内存管理**:内核模式下的内存管理不同于用户模式。了解如何安全地分配、释放和保护内存,避免缓冲区溢出、双重释放等常见错误,对于防止漏洞至关重要。 3. **线程与进程管理**:理解线程上下文切换、同步机制...
使用内核模式调试调试Windows驱动程序
由于驱动程序运行在内核模式下,因此普通的用户调试器已经无法满足调试需求,而内核模式调试器则能够提供更加强大的调试功能。 内核模式调试器广泛应用于操作系统开发、驱动程序开发、安全软件开发等领域,帮助...
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核调试插件
03-08
AA调试 内核调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
9android安卓调试手段代码实现(附详细代码).pdf
11-26
9方法实现Android的调试并有详细的代码实现。包括动和静调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试,Android逆向必备
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
05-15
通过 HOOK PsCreateSystemThread 监控线程,入口函数特征码对比来过hs防护软件的保护,asm源码非常不错
EAC作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np作弊_
10-01
作弊绕过工具.可以绕过np等大部分作弊工具
内核调试方法
神恰以泽_CSDN
07-24 5147
大家好,我是你们的工具人老吴。 今天,和大家分享一下几个 Linux 内核调试小技巧。 当你遇到一个 bug,你调试了 1 年半载都解决不了,这其实一件好事。 因为它会时刻提醒你平时写代码时要谨慎、要多看书、多去认识一些更资深的人,别问我为什么会有这样的感受,因为是亲身经历~ 掌握一个调试工具是需要学习成本的,这里只是列举我自己会用到的工具,如果有某个你觉得特别牛逼的工具而我没提到的话,请原谅我。 好,下面开始正文。 最重要的是:思路 调试 bug 时不要急着做实验,先梳理一下思路。 一般
内核调试手段
weixin_42031299的博客
05-03 1537
1、内核调试配置选项 内核拥有多项用于调试的功能,但是这些功能会造成额外的输出并导致性能下降,因此,内核通常都是禁止掉调试功能。 内核调试相关的配置项主要集中在内核配置菜单"Kernel hacking"中,在使用下面的调试手段时,先确保内核相关的调试 配置项已经开启。 2、BUG()和BUG_ON() #ifndef HAVE_ARCH_BUG #define BUG() do { \ printk("BUG: failure at %s:%d/%s()!\n", __FILE__, __LINE_
eac 调试_白帽Wiki - 白帽入门,从这里开始!
weixin_35064596的博客
01-15 386
用来干什么懂的都懂```cpp#define HUOJI_POOL_TAG 'huoJ'#define CALCSIZE(n,f) (ULONG_PTR)f - (ULONG_PTR)n#define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE_SIZE - 1)))typedef HMODULE(WINAPI* LOADLIBRARY...
Windows驱动 - 事件
qq726232111的博客
12-22 643
0x00 函数 KeWaitForSingleObject将当前线程置于等待状,直到给定的Dispatcher对象被设置为一个信号状,或者(可选)直到等待超时。 PsCreateSystemThread 创建一个以内核模式执行并返回线程句柄的系统线程。 PsTerminateSystemThread 终止当前系统线程。 ZwClose关闭一个对象句柄。 KeInitializeEvent 将事件对象初始化为同步(单个侍者)或通知类型事件,并将其设置为已发出信号或未发出信号的状。 KeS..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值