windows下常见的反调试技术汇总

于 2024-09-01 14:05:42 发布
阅读量53 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/141783713
版权

反调试技术是软件开发者为防止软件被非法调试而采用的一系列手段。以下是对几种常见反调试技术的汇总:

 一、Windows API 断点检测:

通过检测特定的 Windows API 调用是否被设置了断点来判断是否正在被调试。因为调试器在工作时可能会对一些关键的 API 进行断点设置以跟踪程序的执行流程,一旦发现这些 API 被异常中断,就可以推断程序正在被调试。

 二、时间间隔检测:

在程序的不同执行阶段记录时间戳,然后比较两个时间点之间的时间间隔是否与正常执行时相符。如果在调试状态下,程序的执行速度可能会变慢,导致时间间隔异常,从而判断出正在被调试。

 三、基于异常反调试:

利用程序在正常运行和被调试时对异常处理的不同表现来进行反调试。例如,故意引发一个特定的异常,观察程序的处理方式,如果与正常情况不符,则可能正在被调试。

 四、TLS 反调试:

TLS(Thread Local Storage)即线程局部存储,在程序启动时可以利用 TLS 机制执行一些特定的反调试代码。调试器可能无法正确处理 TLS 中的代码,从而被检测到。

 五、特定调试器检测:

通过检测系统中是否存在特定的调试器软件来判断是否正在被调试。可以通过查找调试器的进程名、窗口标题等特征来进行检测。

 六、架构切换反调试:

在程序运行过程中,尝试切换到不同的处理器架构执行一小段代码,然后再切换回来。如果在调试状态下,调试器可能无法正确处理架构的切换,从而被检测到。

 这些反调试技术的目的是增加软件被破解和调试的难度,但也可能会对合法的软件分析和调试工作带来一定的挑战。

阿贾克斯的黎明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 16万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
Windows调试技术汇总
qq138480084的博客
09-15 2557
Windows调试技术汇总 Windows调试技术汇总一、前言二、静态调试技术2.1 进程状态检测2.2 调试环境检测三、动态调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
Windows调试技术汇总
03-03 1778
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
常见Windows调试手段
Snake_74的博客
06-30 1581
文章目录检测数据结构BeingDebuged(字段检测)检测ProcessHeap属性判断STARTUPINFO信息NtGlobalFlagbypass添加IMAGE_LOAD_CONFIG_DIRECTORY结构API调试NtQueryInformationProcessGetLastError**ZwSetInformationThread**系统痕迹查找调试器引用的注册表项查找窗体信息查找...
调试调试
cyynid的博客
05-05 1120
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
软件调试技术,看这一篇就够了
jentle8的博客
11-07 255
二进制调试技术汇总 all in one
Windows 应用暂停技术汇总
Frendguo的博客
05-29 1080
介绍了四种暂停或冻结 Windows 应用的方法:NtSuspendProcess、SuspendThread、NtDebugActiveProcess 和 JobObjectFreezeInformation。NtSuspendProcess 和 NtDebugActiveProcess 效率高,但无法暂停内核代码;SuspendThread 效率较低,可能漏掉新线程;JobObjectFreezeInformation 适用于 UWP 应用,但如果句柄丢失,恢复性差。每种方法复杂度和系统兼容性不同。
虚拟机、沙箱技术整理汇总
人饭子的博客
11-06 1295
虚拟机、沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 虚拟机、沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
[ScyllaHide] 03 PEB相关调试
kinghzking的专栏
12-21 484
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关调试 调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对调试有进一步的了解吧。 先说下,最近翻看资料对调试的理解吧。 首先
【C++软件调试技术】C++软件开发维护过程中典型软件异常问题的排查与总结
热门推荐
dvlinker的技术专栏
04-15 3万+
本文以问答的方式进行展开,罗列了C++软件日常开发和维护中遇到的多个软件调试问题及有代表性的场景,给出详细的处置思路和处理办法,以供大家借鉴和参考。
C++软件调试与异常排查技术从入门到精通学习路线分享
dvlinker的技术专栏
12-17 2万+
详细讲述C++软件调试与异常排查技术从入门到精通学习路线。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8435
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
常用芯片手册芯片资料CC40000系列大全
08-31
常用芯片手册芯片资料CC40000系列大全提取方式是百度网盘分享地址
lxml-5.0.1-cp311-cp311-win32.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
变电站监理员监理工作流程指导书.doc
08-31
变电站监理员监理工作流程指导书.doc
阿里新服务研究中心《未来消费报告》(1).docx
08-31
阿里新服务研究中心《未来消费报告》(1).docx
lxml-5.0.2-pp310-pypy310_pp73-macosx_11_0_x86_64.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
Wu_Zi_Qi.java
最新发布
09-01
Wu_Zi_Qi.java
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值