恶意代码分析-第八章-动态调试

最新推荐文章于 2022-07-26 15:14:52 发布
最新推荐文章于 2022-07-26 15:14:52 发布
阅读量962 收藏
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809075/article/details/81316231
版权

内核模式/用户模式

用户模式:调试的程序会与其他程序隔离

内核模式:会需要两个系统,一个运行被调试的代码,另一个运行调试器,还有须配置操作系统使得开启内核调试功能,并将两个系统连通。

windbag--支持内核调试和用户调试

Ollydbg--支持用户模式

单步跳过--某些函数调用永远不会返回,如果跳过此类函数,调试器将不能再次获得控制权。

异常

调试器通常有两次机会来处理同一个异常:首次处理异常和二次处理异常。调试器第一次附加到进程时,会发生一个异常,然后被调试的程序停止执行,此时调试器开始获得控制权。调试器可以自己处理异常,也可以将异常转给被调试的应用程序处理。

如果程序注册了一个异常处理函数,他会在调试器处理异常后,获取处理异常的权限。例如 除0操作,如果应用程序没有处理异常,调试器将获得另一个调试的机会——二次处理异常。调试器接受到一个二次处理异常后,意味着如果程序没有附加到调试器就会崩溃,为了让应用程序正常运行,调试器必须处理异常。对于恶意代码分析,首次异常可以忽略,二次异常不能忽略。

使用调试修改执行文件:

避免一个函数不被调用,可以通过改变指针指令,阻止调用的发生。

了解一个函数的调用情况,但不知道调用的位置。可以改变指针指令,使这个函数执行。

实验

每昔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析教程第五话--动态调试分析(上)
安全杂货铺
09-05 1286
s
如何防范动态调试(Anti-Debug)(SoftICE篇)
weixin_33753003的博客
06-10 246
Windows NT/2000/XP系统: 1.判断NTICE服务是否运行在Windows NT/2000/XP系统中,SoftICE是一个内核设备驱动类型的服务,服务名为NTICE,因此可通过判断NTICE服务是否运行来检测SoftICE. BOOL SoftICEIsLoad(){ SERVICE_STATUS ssStatus; // 打开服务控制管理器 SH_HANDLE shServ...
避免自己的程序被恶意调试
这个人很懒,什么都没留下!
08-31 214
引入下面代码即可 (() => { function block() { if ( window.outerHeight - window.innerHeight > 200 || window.outerWidth - window.innerWidth > 200 ) { document.body.innerHTML = "检测到非法调试,请
Android 反动态调试
05-07
Android 检查动态调试 最近项目中,三方安全报告中一直存在动态调试检测的高危漏洞。经过多次探索研究,参考了网上不少示例,集大家所成,研究在Android studio 3.0以上,可以使用的示例代码。
恶意代码分析-第十六章-反调试技术
每昔的博客
09-09 685
目录 笔记 实验 Lab16-1 Lab16-2 Lab16-3 笔记 反调试技术:识别是否被调试,或者让调试器失效。 探测windows调试器:        Windows API:IsDebuggerPresent-->查询进程块环境块PEB中的IsDebugged标志                                CheckRemoteDebugg...
iOS 越狱逆向12.4-12.5.5 lldb动态调试
06-23
越狱后的设备可以安装Cydia等第三方应用商店,其中包含许多用于越狱环境的调试分析工具。 lldb动态调试是逆向工程师常用的技巧之一,它允许你在程序运行时查看和控制程序状态。以下是一些关于使用lldb进行动态...
jdk-8u131-windows-x64.exe
04-16
首先,JDK 8是Java SE(标准版)的第八个主要版本,其发布于2014年,带来了许多重要的新功能和优化。u131是该版本的一个更新,代表了第131次更新,通常包含了安全修复、性能提升和其他改进。对于Windows x86_64系统...
Python-AndroidSO自动化分析工具
08-10
7. **安全分析**:对于逆向工程和安全审计,可能涉及到检测恶意代码、查找敏感函数、分析权限滥用等。 8. **性能优化**:通过分析本地代码的执行效率,帮助开发者定位性能瓶颈并提出优化建议。 为了深入了解和使用...
Excel-VBA宏编程实例源代码-数据分析-取得列字段的名称.zip
最新发布
12-14
本压缩包“Excel-VBA宏编程实例源代码-数据分析-取得列字段的名称.zip”包含了用于数据分析的VBA宏编程示例,主要焦点在于如何获取工作表中的列字段名称。以下是对这一主题的详细说明: 1. **VBA基础知识**:VBA是...
Android手机App安全漏洞整理(小结)
08-27
主要介绍了Android手机App安全漏洞整理(小结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
安全检测风险
Errol's Blog
07-26 2619
允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用,用户即可通过adbbackup和adbrestore来进行对应用数据的备份和恢复。第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能能够被备份或恢复。在app上的具体表现是比如游戏登陆时调用微信的Activity登陆组件,微信的Activity登陆组件就是可被导出的。URL地址,进行删除;....................
动态分析Android App之动态调试
热门推荐
lilac的博客
08-24 1万+
动态分析Android App之动态调试 这个系列一共有五篇左右,内容主要介绍如何动态分析调试Android App,和网上其他教程相比,内容更充实,体系更健全,深入而浅出。闻道有先后,术业有专攻,希望能给刚入门Android逆向的同侪们些微帮助。 出于各种原因,文章有两个遗憾,一是只包含了Java层代码的动态分析调试,Jni和Native层并没有涉及;二是对Hook框架的介绍和使用不是很充分...
关于动态调试的一些事情(一)
Magic1an的博客
11-06 1919
0x0 前言动态调试是指用户跟踪软件的运行,从而协助自己解决软件的问题。想成为一个优秀的开发者或逆向工程师,动态调试都是必不可少的技术之一。接下来我们就由浅及深慢慢道来。0x1 涉及工具codeblocks ida 注:截图中工具为codeblcoks 13.12,ida 7.00x2 codeblocks对于刚刚接触编程的人来说,codeblcoks的调试功能可能比较陌生,但是当代码的复杂度提
Android应用防止so注入防止动态调试参考代码
weixin_37459943的博客
10-27 4962
由于公司应用需要过安全测试,测试那边说有so注入漏洞; 废话不多说。直接上代码 package com.pactera.dongfeng.util; import android.content.Context; import android.content.pm.ApplicationInfo; import android.os.Debug; import com.hjq.toast.ToastUtils; import com.pactera.dongfeng.BuildConfig;
安卓应用加固之反动态调试技术总结
08-25 1858
0x00 前言 动态调试是比静态分析更为高效地一种破解手段。因此在破解安卓应用之前,一般会先对应用进行动态调试,了解应用大致运行流程和各个类之间的逻辑关系。 反动态调试可以从以下两个个方向着手: 1.运行环境检测:检测应用的运行环境是否安全,是否可能存在被调试的风险 2.动态调试指令检测:检测应用的运行过程中是否受到动态调试指令的控制 本文完全参考自网友 爱吃菠菜 的...
android 高危漏洞,activity劫持,动态调试及so注入
ssssxy的博客
04-29 3942
如上图,apk已经用腾讯加固过,但是被检测出3个高危漏洞(RN项目) 1、activity劫持: 在MainActivity中: @Override protected void onResume() { AntiHijackingUtils.getinstance().onResume(); super.onResume(); Log.e("生命周期","on...
Android防止被动态调试的解决方法
逍遥阁
05-11 5611
1、判断要是BuildConfig.DEBUG为false,但AndroidManifest却声明为debuggable,可认为是被动态调试调试状态,强制退出 2、定时轮询,判断在BuildConfig.DEBUG为false时,是否有调试器连接,如果有,可认为是被动态调试调试状态,强制退出 3、定时轮询,判断在BuildConfig.DEBUG为false时,是否被其他进程用Ptrace方式跟踪,如果有,可认为是被动态调试调试状态,强制退出 public class DebuggerUtils {
Intel® 64 and IA-32 Architectures System Programming Guide, Part 2
"Intel® 64 and IA-32 Architectures Software Developer’s Manual Volume 3B,系统编程指南第二部分" Intel® 64和IA-32架构软件开发人员手册是针对Intel处理器架构的全面参考资料,由五卷组成。这五卷包括:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值