勿用于违法用途
1.DebugPort
DebugPort是进程EPROCESS结构的一个成员,指向了一个用于进程调试的对象,如果一个进程不在被调试的时候就是NULL,否则他是一个指针。该对象负责在调试器与被调进程之间进行调试事件的传递,因此被称为调试端口、被调试程序的时间由这个端口发送到调试器进程的
2.KdDisableDebugger, 禁用内核调试 KdEnableDeugger 启动内核调试
在内核中调用
3.IsDebuggerPresent 和 CheckRemoteDebuggerPresent
在应用层的可以发现是不是正在被调试
4. hook
HOOk系统中一些与调试相关的函数,也可以防止被各种调试器调试。比如某款程序在内核中就HOOL了下面这些函数
NtOpenThread() :防止调试器在程序内部创建线程
NtOpenProcess():防止OD等调试工具在进程列表中看到
KiAttachProcess():防止被附加上
NtReadVirtualMemory():防止被读内存
NTWriteVirtualMemory():防止内存背写
KdReceivePacket():KDCOM.dll中Com串口接收数据函数
KdSendPackett():KDCOM.dll中Com串口发送数据函数,可以Hook这两个函数来防止双机调试
反反调试:
针对清零DebugPort来防止反调试的方法,可以通过对DebugPort下内存断点:
ba w4 debugport_addr
这样一旦有程序代码在修改DebugPort,就会被断下,从而找到对应的清零DebugPort的反调试代码,然后对这部分代码进行patch,从而干掉它,有的程序会对代码进行校验,一旦发现代码被篡改,就会采取保护措施,比如抛出异常或是退出程序
针对调用系统函数如 KdDisableDebugger() 来检测调试器存在从而禁止被调试的方法,可以在对应的这些函数的地址上下断点,然后对相关的代码进行patch,然后使函数判断失效、比如:
bp KdDisableDebugger、eb XXX
针对通过Hook系统函数来防止进程被调试的方法,可以直接将这些系统函数的钩子直接恢复,可以通过内核驱动程序或者借助一些ARK工具(比如Pchunter)就可以直接检测和恢复这些函数钩子
花指令
花指令是指程序中的无用指令或者垃圾指令,故意干扰各种反汇编静态分析工具,但是程序不受任何影响,缺少了它也能正常运行。加花指令后,IDA Pro 等分析工具对程序静态反汇编时,往往会出现错误或者遭到破坏,加大逆向静态分析的难度,从而隐藏自身的程序结构和算法,保护自己
push edx
pop edx
inc ecx
dec ecx
add esp,1
sub esp,1残缺机器码:
jmp l1
db opcode
l1:
....但这种方式很容易被发现 ,因为IDA采用的反汇编算法是递归的如果没有指令跳转过去db opcode的话会拒绝执行所以有了下面这种:
jz l1
jnz l1
db opcode
l1OLLVM代码混淆工具
混淆方法主要有
控制流平展模式 :把程序执行流程打乱
指令替换模式 :可能是把原来很简单的加减乘除变成非常复杂的形式
控制流伪造模式 :会在程序前面后面中间添加垃圾指令
3100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
