由一道CTF对10种反调试的探究

最新推荐文章于 2023-06-21 14:51:46 发布
最新推荐文章于 2023-06-21 14:51:46 发布
阅读量1.9k 收藏 18
点赞数 8
分类专栏: CTF windows 文章标签: 调试器 windows 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46362499/article/details/105704790
版权
本文详细探讨了在CTF竞赛中遇到的反动态调试技术,包括IsDebuggerPresent、CheckRemoteDebuggerPresent等10种方法。通过逆向分析,解释了这些反调试函数的工作原理,并提供了相关调试工具和技巧的使用示例。
摘要由CSDN通过智能技术生成

0x00 前言

最近做的有些ctf中总是出现一些反动态调试的情况。由次对一些常见的反动态调试进行一些总结。既然是调试,趁着这个机会探究了一下调试器如何与被调试进程建立联系的过程。

参考文章:

https://blog.csdn.net/hgy413/article/details/7996652
https://blog.csdn.net/yiyefangzhou24/article/details/6242459
https://www.52pojie.cn/thread-883664-1-1.html

https://bbs.pediy.com/thread-223857.htm

http://bbs.pediy.com/showthread.php?t=31447

https://blog.csdn.net/qq_32400847/article/details/52798050

0x01 CTF—wp

先运行一下

 

 

到ida里看一下

 

发现4010D7的位置无缘无故跳到了4010DE,就是这块的问题,在x32dbg搜字符串定位,把4010D7~4010E0都nop掉,

得到新的文件。重新载入ida。

 

 

经过逆向分析首先经过10次反调试,只有在不被调试的情况下才能组成正确的str1,然后对flag普通base64加密,再

进行奇偶位分别与str1与[0ff_404018^3]比较。反调试的函数主要在下面分析。

脚本如下:

import base64
str1 = "LKd8gPYWS["
str2 = "2TVBnx0lnn"
cipher = [0] * 20
for i in range(10):
    cipher[2*i] = (ord(str1[i]) ^ 3) - 2
    cipher[2*i+1] = ord(str2[i])
print''.join(map(chr,cipher))
#M2FTeV9BbnQxX0RlNnVn
end_cipher = 'M2FTeV9BbnQxX0RlNnVn'
print"D0g3{"+end_cipher.decode("base64")+"}"
#D0g3{3aSy_Ant1_De6ug}

0x02 对反调试的探究

  上题中反调试的函数在接下来具体说明

1.IsDebuggerPresent

 

用windbg看一下IsDebuggerPresent的反汇编

kernel32!IsDebuggerPresent:
7c813133 64a118000000    mov     ea

最低0.47元/天 解锁文章
0xDQ
关注
  • 8
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF调试.exe
04-23
《由一道ctf引起的10种反调试探究》所用的CTF试题。
调试技术总结(看雪)
eli的博客
12-07 2785
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避
调试技术
最新发布
nareku的博客
06-21 817
思来想去还是先写调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
简单介绍 调试
Misaka10046的博客
04-04 551
DebugPort KdDisableDebugger 禁用内核调试 IsDebuggerPresent/CheckRemoteDebuggerPresent Hook HOOK一些与调试相关的函数 NtOpenThread:防止调试器在程序内部创建线程 NtOpenProcess:防止OD等调试工具在进程列表中看到 KIAttachProcess:防止被附加上 NtReadVirtualMemory:防止被读内存 NtWriteVirtualMemory:防止内存被写 KdReceivePacket:K
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1458
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
CTF杂项解题思路探究.zip
02-26
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种技术挑战来获取虚拟旗帜,这些挑战涵盖了密码学、逆向工程、Web安全、取证分析等多个领域。"CTF杂项解题思路探究"通常指的是那些无法归类到特定领域...
CTF-java编译工具id-gui
11-01
编译器的原理是什么? 由于Java、.net这样的基于虚拟机技术的语言都是采用了ByteCode的二进制结构,因此很容易将ByteCode转化为“抽象语法树”(简称AST,《编译原理》这门课中的概念),然后采用编译器就可以将...
一道ctf的misc题
12-18
一道ctf的misc题
bfengj#CTF#thinkphp5.0.24序列化rce1
07-25
thinkphp5.0.24序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
Windows调试技术汇总
03-03 1747
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试器调试它的痕迹,其中包括使用Windo
调试技术揭秘(转)
weixin_33935505的博客
03-04 518
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
调试技术(1) 函数检测
jentle8的博客
10-04 1439
什么是调试 调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
26种对付调试的方法
weixin_34235371的博客
05-15 4518
2019独角兽企业重金招聘Python工程师标准>>> ...
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 690
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
2022CTF培训(二)Hook进阶&调试
sky123博客
11-23 1366
已在 GitHub 上被开源。是微软官方的 Hook 软件包,用于监视和检测 Windows 上的 API 调用(实际上不仅仅限于对 API 函数的调用监控,还可以实现任意函数调用的监控,得益于非常易于使用的调用方式)。Detours 可以用于拦截 ARM,x86,x64 和 IA64 计算机上的二进制函数。Detours 最常用于拦截应用程序中的 Win32 API 调用,例如添加调试用的工具、 拦截代码在运行时动作等等。通过跳转到用户提供的回调函数的无条件来替换目标功能的前几条指令。
调试技术- IsDebuggerPresent,原理 与 调试
desword-- 技术,杂文。
07-25 6520
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
一道ctf隐写的例题
03-05
我可以回答这个问题。以下是一道ctf隐写的例题: 题目描述:给定一张图片,其中隐藏了一段秘密信息。请使用隐写术解密该信息。 解题思路:首先,我们需要使用一些隐写术工具来分析图片,例如Stegsolve、Steghide等。通过分析,我们可以发现图片中隐藏了一段二进制代码。接下来,我们需要将二进制代码转换为ASCII码,从而得到秘密信息。 答案仅供参考,具体解题方法可能因题目而异。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值