8.9 RDTSC时钟检测反调试

已于 2023-11-07 13:36:26 修改
阅读量1.7w 收藏 1
点赞数
分类专栏: 《灰帽黑客:攻守道》 文章标签: c语言 Visual C++ 信息安全 反调试 RDTSC
于 2023-09-27 09:25:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/133339657
版权

RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用rdtsc汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入EDX:EAX寄存器中,通过运行两次rdstc指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。

可以利用时钟检测技术来检测程序是否被调试器附加,其实现基本思路如下:

  • 获取当前时间戳 T1,即通过执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
  • 执行一段代码,例如随机生成一个数字或者MessageBox等,使得程序中断一些时间,防止被调试器单步跟踪。
  • 获取当前时间戳 T2,即通过再次执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
  • 计算时间戳之差,即 T2-T1,如果该差值较小,则表明程序正在被调试器跟踪。
#include <Windows.h>
#include <stdio.h>

BOOL IsDebug()
{
    int Debug = 0;
    __asm
    {
        rdtsc           // 调用时钟
        xor ecx, ecx
        add ecx, eax    // 将eax与ecx相加
        rdtsc           // 再次调用时钟
        sub eax, ecx    // 两次结果做差值
        mov Debug, eax
    }
    
    printf("打印差值: %d \n", Debug);
    if (Debug >= 21)
    {
        return TRUE;
    }

    return FALSE;
}

int main(int argc, char * argv[])
{
    if (IsDebug())
    {
        printf("[-] 进程正在被调试 \n");
    }

    system("pause");
    return 0;
}
rdtsc 指令测试 cpu 频率
lisamxc的专栏
02-04 818
#include #include #include #include #ifdef __cplusplus extern "C" { #endif _CRTIMP void __cdecl _wassert(_In_z_ const wchar_t* _Message, _In_z_ const wchar_t* _File, _In_ unsigned _Line); #ifde
如何绕过反调试技术——学习回顾(3)
weixin_43742894的博客
04-09 858
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。 记录学习过程,以待后来温习。 反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...
RDTSC指令的应用之检测CPU主频
08-10
自己做的小程序,检测CPU主频,内嵌汇编代码,rdtsc指令的一个小应用,有详细注释
kvm-rdtsc-hack:内核模块可通过RDTSC计时器规避KVM的检测
05-26
KVM RDTSC计时器稳定器 该项目旨在稳定并最小化在KVM虚拟机中运行的程序中2个RDTSC调用和vmexit(特别是cpuid)的感知时间差。 您可能需要配置constant_tsc_offset值,默认情况下为1000。 在AMD Ryzen平台上,〜1600的值相当理想。 增大它可以使时差变小,但是存在向后时移的风险,这会破坏正在运行的操作系统的稳定性。 当前的目标是提高可用性(多个KVM实例支持)和效率(稳定值仍然相当不稳定,因此不可能始终通过VM检测测试)
[反反调试] 时间
LYSM
11-09 401
参考 关于时间反调试方法参考这里 windows 获取系统时间的函数: void GetLocalTime( LPSYSTEMTIME lpSystemTime ); void GetSystemTime( LPSYSTEMTIME lpSystemTime ); BOOL QueryPerformanceCounter( LARGE_INTEGER *lpPerformanceCount ); BOOL QueryPerformanceFrequency( LARGE_INTEGE
rdtsc
sunzixun的专栏
05-07 529
  static void * thread_start(void *arg) { printf("Subthread starting infinite loop\n"); for (;;) continue; } static vo...
各种反调试技术原理与实例VC版.doc
最新发布
11-03
2. 检测调试器进程主要是通过查询系统中运行的进程信息,看是否存在已知的调试器进程名称,如OllyDbg、WinDbg等。 3. 检查父进程是否是Explorer,因为调试器通常会通过explorer.exe来启动被调试的程序,以避免被...
种类齐全的调试与反调试,来自GitHub
12-06
- RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer ...
vmware 反虚拟机检测
01-13
### VMware 反虚拟机检测 #### 一、概述 在当今复杂的网络安全环境中,虚拟化技术的应用日益广泛。其中,VMware作为业界领先的虚拟化解决方案之一,被广泛应用于各种场景之中。然而,在某些特殊应用场景下(如游戏...
深入解析反调试技术与实战
- **RDTSC/GetTickCount**:利用CPU时钟指令或者系统计时函数,检测执行时间的异常,以发现是否被暂停(调试器会暂停程序执行)。 3. **PEB(Process Environment Block)检查**: - **NtGlobalFlag**,**Heap....
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
Win32下常见反调试技术
HexRain的专栏
12-17 5050
1 探索内存差异 跟到的一个IceSword用户层程序中的一个反调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
linux 时间与定时器编程原理,浅析 Linux 中的时间编程和实现原理-嵌入式-火龙果软件工程...
weixin_29099217的博客
05-01 712
引子我们都生活在时间中,但却无法去思考它。什么是时间呢?似乎这是一个永远也不能被回答的问题。然而作为一个程序员,在工作中,总有那么几次我必须思考什么是时间。比如,需要知道一段代码运行了多久;要在log 文件中记录事件发生时的时间戳;再比如需要一个定时器以便能够定期做某些计算机操作。我发现,在计算机世界中,时间在不同场合也往往有不同的含义,让试图思考它的人感到迷茫。但值得庆幸的是,Linux中的时间...
windows分析
jinganggiao的博客
09-27 425
Windows病毒&逆向
浅析 Linux 中的时间编程和实现原理
David_xtd的专栏
01-14 4479
引子 我们都生活在时间中,但却无法去思考它。什么是时间呢?似乎这是一个永远也不能被回答的问题。然而作为一个程序员,在工作中,总有那么几次我必须思考什么是时间。比如,需要知道一段代码运行了多久;要在 log 文件中记录事件发生时的时间戳;再比如需要一个定时器以便能够定期做某些计算机操作。我发现,在计算机世界中,时间在不同场合也往往有不同的含义,让试图思考它的人感到迷茫。但值得庆幸的是,Linu
RDTSC指令介绍与使用
热门推荐
百里杨的博客
09-22 1万+
一、了解RDTSC指令 rdtsc指令, 该指令返回CPU自启动以来的时钟周期数;该时钟周期数,即处理器的时间戳。 在CPU通电启动后,首先会重置EDX和EAX,在每个时钟周期上升或下降沿到来时,会自动累计周期数,并被记录到EDX和EAX寄存器中,EDX是高位,EAX是低位。 rdtsc指令就是从该寄存器中进行获取的。 周期和频率的关系公式:T(周期)=1/f(频率) 如CPU频率f为1GHz,则其时钟周期T=1/1GHz秒,意味着每隔T秒,CPU完成一个最基本的动作,并在寄存器中,对周期数加1。 故,假设
学习笔记01 __rdtsc()计时
xyboy0909的博客
06-29 1924
CPU提供了一个特殊的机器指令rdtsc,使用这条指令可以读出CPU自从启动以来的时钟周期数。 其计时精度可以达到纳秒级
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微软技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值