恶意样本分析--16Windows中一些常用的反调试记录

最新推荐文章于 2022-03-03 08:49:13 发布
VIP文章 最新推荐文章于 2022-03-03 08:49:13 发布
阅读量555 收藏
点赞数
分类专栏: 病毒分析 学习资料整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106339094
版权

Windows中一些常用的反调试记录

这里笔记会记录一些关于Windows中的反调试技术的汇编代码,方便后续分析程序时回来查看。反调试技术包括

  • Windows APIs 调用
  • 其他手段检测调试器

Windows APIs

IsDebuggerPresent

这个函数主要检测的是PEBIsDebugged标志,如果返回非零值则表示被调试

CheckRemoteDebuggerPresent

这个函数和IsDebuggerPresent函数一样也是检测PEB->IsDebugged状态值, 不过还可以检测其他进程是否被调试,此时需要传入的是目标进程的句柄。

对抗方法:

1、找一些辅助插件过掉

2、动态调试阶段修改指令

**3、动态调试阶段改变状态寄存器 **

4、修改二进制的指令

NtQueryInformationProcess

这个ntdll.dll内的一个原生API,目的是用来提取指定进程的信息

函数原型

__kernel_entry NTSTATUS NtQueryInformationProcess(
  IN HANDLE           ProcessHandle,
  IN PROCESSINFOCLASS ProcessInformationClass,
  OUT PVOID           ProcessInformation,
  IN ULONG            ProcessInformationLength,
  OUT PULONG          ReturnLength
);

这里的ProcessInformatinoClass是一个枚举量,当ProcessInformationClass=ProcessDebugport,例如ProcessDebugport=0x70或者别的调试器端口号就能判断指定的进程是否被调试,如果是则返回调试端口,否则返回0.

对抗方法:

1、找一些辅助插件过掉

2、动态调试阶段修改指令

**3、动态调试阶段改变状态寄存器 **

4、修改二进制的指令

OutputDebugString

函数的目的是在调试器中显示一个字符串以检测调试器是否存在。

使用方法:

  • 调用SetLastError函数设置一个任意值,例如0x111
  • 调用OutputDebugString 函数,如果这个函数调用失败,SetLastError函数就会被系统分配一个新的值
  • 调用GetLastError来判断是否是设定的值,例如0x111

代码片段如下

DWORD errorValue=0x111;
SetLastError(errorValue);
OutputDebugString("Test for Debugger!");
if(GetLastError() == errorValue)
{
    printf("Debugger was attached !\n");
    ExistProcess();
}
printf("Normal procedure!!\n");

如下使用OD调试时的截图,检测出调试器附加

在这里插入图片描述

注:直接使用VisualStudio2015编译执行也是会提示debugger存在,估计是环境不对?

在这里插入图片描述

不过需要记住这个检测手段即可,再之后分析中遇到多注意。

对抗方法:

1、找一些辅助插件过掉

2、动态调试阶段修改指令

**3、动态调试阶段改变状态寄存器 **

4、修改二进制的指令

检测数据结构PEB

检测BeingDebugged

这个反调试检测或多或少都遇到了,例如

mov eax,dword ptr fs:[30];
mov ebx,byte ptr [eax+0x2];
test ebx,ebx;检测这个是否为零
jz NoDebuggerDetected

或者

push dword ptr fs:[30];
pop ebx;
cmp
最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64 驱动内核编程-11.回调监控进线程句柄操作
天使也掉毛
03-12 5106
无HOOK监控进线程句柄操作     在 NT5 平台下,要监控进线程句柄的操作,通常要挂钩 3 个 API:NtOpenProcess、NtOpenThread、NtDuplicateObject。但是在 VISTA SP1 以及之 后的系统,我们可以完全抛弃 HOOK 方案了,转而使用一个标准的 API:ObRegisterCallbacks。下面做一个监视进线程句柄操作的程序,并实现保
多核时代不宜再用 x86 的 RDTSC 指令测试指令周期和时间
热门推荐
陈硕的Blog
01-16 4万+
多核时代不宜再用 x86 的 RDTSC 指令测试指令周期和时间 陈硕Blog.csdn.net/Solstice 自从 Intel Pentium 加入 RDTSC 指令以来,这条指令是 micro-benchmarking 的利器,可以以极小的代价获得高精度的 CPU 时钟周期数(Time Stamp Counter),不少介绍优化的文章[1]和书籍用它来比较两段代码的快慢。甚
单通道16k-16bit wav英文数据样本.zip
04-13
本资源包含:ST-CMDS、THCHS-30两个文数据集各四条语音样本,LibriSpeech ASR corpus 数据集里面一个数据样本(已转为单通道16k-16bit wav格式),供大家参考测试使用。有条件的同学建议自行到数据集官网进行下载即可。
时间戳计时器
DeepLearner的博客
08-24 1215
时间戳计时器 之前在做CSAPP:Lab_Performance的时候,查看代码遇到这个问题。查阅资料之后,整理、记录一下。 时间戳计时器 Time Stamp Counter(TSC)是自Pentium之后所有的x86处理器都有的一个64位寄存器。它对自上次重设之后的cycles的数量计数。指令RDSTC将TSC返回到串联寄存器组EDX:EAX(即低32位保存在EAX,高32位保存在EDX)。在x86-64机器,RDSTC还会将RAX和RDX高32位清空。它的操作码是0F 31。(以上定义,引用自
关于汇编语言cmp指令的小笔记
zer1123的博客
12-31 4万+
cmp是比较指令,cmp的功能是相当于减法指令,只是不保存结果.cmp指令执行后,将对标志寄存器产生影响.其他相关指令通过识别这些被影响的标志寄存器来得知比较结果. cmp指令格式: cmp  操作对象1,操作对象2 功能: 计算操作对象1 - 操作对象2 但不保存结果,仅仅根据计算结果对标志寄存器进行设置.比如cmp ax,ax  是做ax - ax 的运算,结果为0,但并不在ax
测时间函数 精确到时钟周期数(rdstc)
JackyLau的专栏
03-26 2554
#include  #include  #include #define TIMES 100 #define SIZE 1024 __u64 rdtsc() {         __u32 lo,hi;         __asm__ __volatile__         (          "rdtsc":"=a"(lo),"=d"(hi)  
利用Windows异常处理和RDTSC指令调试学习
把梦想放飞在蓝色的天空里...
05-15 5113
利用Windows异常处理和RDTSC指令调试学习          最近在学习调试,刚好学到用rdtsc指令调试。学习加密解密这么久了,感觉自己对Windows的异常处理还是了解得不透彻,所以决心自己好好学习跟踪一把。          于是自己写了个小对话框程序,添加了一个按钮,按钮单击代码如下: voidCAnti_debugDlg::OnTest() {
动态调试技术
寻梦&之璐
01-27 2208
异常 SEH Windows操作系统的一些典型异常 EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) EXCEPTION_SINGLE_STEP (0x80000004) EXCEPTION_ACCESS_VIOLATION (0xC0000005) EXCEPTION_IN_PACE_ERROR (0xC0000006) EXCEPTIO
Windows调试技术汇总
03-03 1624
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试器调试它的痕迹,其包括使用Windo
SSG20-300160-NJZ信索光幕文选型样本
03-23
SSG20-300160-NJZ信索光幕文选型样本.pdf 介绍了关于SSG20-300160-NJZ信索光幕文选型样本的详细说明,提供其它的技术资料的下载。
malware-samples:恶意软件样本分析练习和其他有趣的资源
03-29
2021年2月:2020年12月:样本摘要2021-03-16: : : 2021-01-30:2021-01-30: 2021-01-23: 2021-01-15: 2021-01-15:2021-01-09: 2021-01-07:2021-01-02: 2020-12-26:2020 : 2020-12-15: 2020-12-15:2020...
产品样本分析研讨- 后开式叶轮化工泵.rar
05-04
产品样本分析研讨- 后开式叶轮化工泵
windows调试调试复习笔记
kernweak的博客
06-28 1798
调试分类 1、检测断点(软件断点,硬件断点,内存断点) 2、各种标记检测(单步标记,内存标记,内核对象,调试端口等) 3、进程名字,窗口及其类名检测 4、文件完整性检测 软件断点 TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点,通过TLS回调得到程序的OEP然后判断入口判断是否为int 3断点 即可判断是否有调试器。当然回调函数也可以有其他的调试手法。 ...
Windows调试技术参考
子曰小玖的博客
01-08 1249
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术。 调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文,我们假设所有的程序都是在Rin...
linux时间纳秒级同步,linux 下纳秒级精度时间 RDSTC
weixin_36207513的博客
05-02 235
gcc 4.7.2下测试通过#include inline volatile long long RDTSC() {register long long TSC asm("eax");asm volatile (".byte 15, 49" : : : "eax", "edx");return TSC;}long long m_t1 = RDTSC();cmake -D CMAKE_BUILD_T...
FS寄存器
求索
09-18 986
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号得到KER
Windbg---HEAP CORRUPTION
cai0612123的专栏
05-19 3320
1.设置gflags 2.attach to xxx.exe 3.出现异常时,生成dump     .dump /ma c:\xxx.dmp 4.分析dump 0:013> !analyze -v FAULTING_IP: ntdll!RtlpAllocateHeap+e83 00000000`77413fcf 4d8b4b08        mov     r9,qword pt
【pwnable.kr】memcpy - RDSTC指令对齐 - malloc chunk
think_ycx的专栏
10-15 793
memcpy - 10 pt Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours. http://pwnable.kr/bin/memcpy.c ss...
Linux CFS调度系统----周期性调度器
Justlinux2010的专栏
12-26 2872
周期性调度器由scheduler_tick()函数实现,在每个时钟都会调用该函数来更新一些统计量,并且会激活当前进程所属调度类的周期性处理接口,代码流程如下所示:   具体来说,scheduler_tick()做了以下工作:     1)更新就绪队列的实际时钟时间,不是虚拟时钟时间。     2)更新就绪队列权重数组cpu_load的权重值     3)调用当前CPU上
恶意分析的lab07-02实验
最新发布
06-19
这个实验首先介绍了一种虚拟化技术,在虚拟环境安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值