PEB(反调试)

最新推荐文章于 2021-12-21 19:18:30 发布
最新推荐文章于 2021-12-21 19:18:30 发布
阅读量1k 收藏 4
点赞数
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwhaaaa/article/details/116144682
版权

文章目录

0x01 PEB 简介

​ PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化。其中与我们的反调试有较大关系的成员有:

 +0x002 BeingDebugged    : UChar
 +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
 +0x018 ProcessHeap      : Ptr32 Void
 +0x068 NtGlobalFlag     : Uint4B

0x02 成员介绍

一、BeingDebugged

​ 进程处于调试状态时,PEB.BeingDebugged 成员的值设为 1。在非调试状态下为 0,在 Kernelbase.dll 中存在 API IsDebuggerPresent(),可以检测该成员值。其汇编形式为

mov eax,dword ptr fs:[0x30]		;将PEB地址放入eax中
movzx eax,byte ptr ds:[eax+0x2]  ;BeingDebugged 地址偏移为0x2

破解方法:进入相应的内存地址处,直接修改值。OD 内也有插件 Strong OD 可以直接帮忙修改。

二、Ldr

​ 调试进程时,其堆内存区域中会出现一些特殊标识,表明它正处于被调试状态。最醒目的是:未使用的堆内存区域全部填充着0xEEFEEEFE,利用这一特征可判断是否处于被调试状态。
​ PEB.Ldr 是指向 _PEB_LDR_DATA 结构体指针, _PEB_LDR_DATA 恰好是在堆内存中创建的。检测 _PEB_LDR_DATA 是否是0xEEFEEEFE 即可判断是否处于被调试,汇编的调用形式和上面的相差不多。

破解方法:将其中的 0xEEFEEEFE 覆写为 null 即可。

三、ProcessHeap

​ PEB.ProcessHeap 指向 HEAP 结构体。HEAP 结构体中与反调试有关的有两个:Flags、ForceFlags。这两个字段的值会受调试器的影响(非调试是值分别为2、0),同时其位置也会受 windows 版本影响而有不同。
​ 其值的获取既可以从 PEB 结构中获取,也可以从 GetprocessHeap()API 中获取

破解方法:将 HEAP.Flags 重新修改为2 ,HEAP.ForceFlags 修改为0

四、NtGlobalFlag

​ 调试进程时,PEB.NtGlobalFlag 会被置为 0x70,该字段在32 位机器上,位于 0x68 ,在64位机器上,位于 0xBC。

NtGlobalFlag 0x70是下列Flags进行bit OR(位或)运算的结果

FLG_HEAP_ENABLE_TAIL_CHECK (0x10)
FLG_HEAP_ENABLE_FREE_CHECK (0x20)
FLG_HEAP_VALIDATE_PARAMETERS (0x40)

破解方法:手动修改标志位的值;在 Ollydbg 中使用 strong od 插件;在 Windbg 禁用调试堆的方式启动程序 (windbg -hd program.exe)

lllle00
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
利用PEB结构体实现调试
hanseys的专栏
07-21 1307
PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,我们首先看看PEB结构体: typedef struct _PEB {               // Size: 0x1D8     000h    UCHAR           InheritedAddressSpace;     001h    UCHAR
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 4852
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3049
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1505
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
C++ 调试PEB
LYSM
09-10 820
PEB 调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 _PEB 结构体中的位置,可以发现 01、70 这两个标志(注意这里 main函数还没开始运行,所以程序不会退出,只有当你第一次点击 “运行” 时才会执行到 main,检测代码才会有...
[ScyllaHide] 03 PEB相关调试
kinghzking的专栏
12-21 413
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关调试 调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对调试有进一步的了解吧。 先说下,最近翻看资料对调试的理解吧。 首先
PEB标记调试方法
weixin_30522095的博客
09-07 193
            PEB标记调试方法 一丶PEB结构简介   PEB.简称进程环境快. 我们在讲DLL隐藏的时候已经说过了. 具体博客链接:https://www.cnblogs.com/iBinary/p/9601860.html 那么我们现在直接看下PEB结构体吧 [+0x000] InheritedAddressSpace : 0x0 [Type: unsigned ...
PEB调试中的常用点
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
01-15 1262
前言 和老手聊起PEB调试中常用的几个点, 做个试验. 记录 开Winxp虚拟机调试模式, 连上Windbg. 先用Windbg附加记事本,将PEB列出来. !process 0 0 PROCESS 82091650 SessionId: 0 Cid: 04e4 Peb: 7ffde000 ParentCid: 0170 DirBase: 07f8024
PEB
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 649
typedef struct _PEB {                   // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptions; /*002*/ UCHAR BeingDebugged; /*003*/ UCHAR SpareBool;
PEB是什么
TracyZhongcf的专栏
11-11 3311
 PEB:process enviroment block
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
PEB_Test.rar
12-26
1. IsDebuggerPresent 2. PEB(进程环境块) 3. 软件断点防止 4. CheckRemoteDebuggerPresent和NtQueryInformationProcess ...5:参考于https://www.4hou.com/web/15211.html,介绍的调试调试方法
关于一些调试器的调试技术
09-29
调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , ...
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、...
Hash 算法(MD5、SHA-512)
lwhaaaa的博客
04-29 4028
文章目录0x01 Hash 算法简介0x02 常见的 Hash 算法0x03 MD5一、算法发展1.1 MD21.2 MD4二、MD5 原理2.1 数据填充2.2 添加长度2.3 初始化变量2.4 数据处理2.5 输出0x04 SHA 系列一、发展历史二、 SHA2 原理2.1 数据填充2.2 添加长度2.3 初始化变量2.4 数据处理2.5 输出0x05 参考 0x01 Hash 算法简介 ​ 单向散列函数算法也称 Hash(哈希)算法,是一种将任意长度的消息压缩到某一固定长度的函数,理论上这是一种单
lib 文件(基础)
lwhaaaa的博客
04-26 2938
文章目录0x00 前言0x01 lib 简介0x02 静态 lib0x03 动态 lib0x04 lib 的调用一、静态 lib二、动态 lib 0x00 前言 ​ 本文主要是参考:在自己的项目中调用别人的库的方法(static lib库,dynamic lib库以及dll动态库)_邓无邪的博客-CSDN博客 写下来的 0x01 lib 简介 ​ lib 文件也是一种类似于 DLL 的库文件,常称之为静态链接库文件,而 lib 又有两种:静态 lib 和动态 lib。 0x02 静态 lib ​ 静态
压缩、加密壳初认识
lwhaaaa的博客
04-24 2711
文章目录0x01 壳的简介0x02 加壳原理0x03 压缩壳0x04 加密壳0x05 脱壳 0x01 壳的简介 什么是壳: ​ 壳是一种概念上的东西,人们为了保护软件不会被轻易的修改或者编译,希望软件能够获得一种保护,能如同乌龟壳保护乌龟一般,能有一个东西保护自己,于是壳就出现了。 关于壳的作用: ​ 壳的初始作用是保护软件,但后来发展的方向不一就出现了各种各样的壳,大致有压缩壳、加密壳、VM 壳的分类。压缩壳故名思意,主要作用是用于压缩方面,可以有效的减小软件的大小;加密壳,其主要作用是保护软件;V
IDA python(简单)
lwhaaaa的博客
04-25 1659
文章目录0x01 简介0x02 使用方法0x03 相关语法 0x01 简介 ​ IDA python 是一个 IDA 的插件,其功能作用和 IDC 差不多,但 IDC 功能并没有 IDA python 强大。 0x02 使用方法 ​ IDA 6.8 后好像便自带了。和 IDC 类似,使用 python 语句写一段代码,然后放入命令中,运行即可。打开如下 0x03 相关语法 ​ IDA python 主要由 3 个模块组成: idc,idautils 和 idaapi。 idaapi,及idaap
C语言实现windows调试
最新发布
05-21
在 Windows 平台上实现调试可以采取多种方法,其中一种是使用 C 语言,以下是一些实现调试的技术和方法: 1. 检测调试器 可在程序中使用 IsDebuggerPresent 函数来检测是否存在调试器。 2. 检测 PEB 可在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值