Anti-Attach 防止调试器附加

最新推荐文章于 2023-08-04 18:09:44 发布
最新推荐文章于 2023-08-04 18:09:44 发布
阅读量5.9k 收藏 4
点赞数 2
分类专栏: 壳的世界 文章标签: hook byte 解密 加密 api c

今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》

看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案,

发现书上写了这样一句话:

Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreakPoint处。

 

意识就是说如果是用调试器附加的话,就会调用 ntdll.dll的ZwContinue 和 DbgBreakPoint 函数,如果我们HOOK这两个函数,一旦程序执行到我们的函数,就是说有调试器附加了,那么就提示发现调试器了,这确实是个不错的方法。

 

以下将代码贴出:

 

@get_api_addr "NTDLL.DLL","ZwContinue"
  xchg ebx,eax
;  得到Ntdll.dll的ZwContinue地址
  call a1
  dd 0
a1: push PAGE_READWRITE
  push 5
  push ebx
  call VirtualProtect
  @check 0,"Error: cannot deprotect the region!"
;   申请内存读写权限
  lea edi,_ZwContinue_b
  mov ecx,0Fh
  mov esi,ebx
  rep movsb
;   Edi寄存器指向我们自定义的一块大小为0F的内存区域,
;   这正是Ntdll.ZwContinue函数的大小。rep movsb指令把
;   原始ZwContinue函数复制到我们指定的ZwContinue_b处
  lea eax,_ZwContinue
  mov edi,ebx
  call  make_jump
  
;   _ZwContinue处地址放入eax,原函数地址放入edi,调用
;   make_jump在原函数开头构造一个跳转指令(常用伎俩)。
  @debug  "attach debugger to me now!",
MB_ICONINFORMATION

exit: mov byte ptr [flag],1
;   正常调用,flag为1
  push  0
  @callx  ExitProcess
make_jump:
  pushad
  mov byte ptr [edi],0E9h
  sub eax,edi
  sub eax,5
  mov dword ptr [edi+1],eax
  popad
  ret
;   保留所有寄存器,构造跳转,使ZwContinue原函数跳入我
;   们的_ZwContinue执行
flag db 0
;   定义flag,用来判断是否被附加调试
_ZwContinue: pushad
  cmp byte ptr [flag],0
  jne we_q
  @debug "Debugger found!",MB_ICONERROR
we_q: popad
;   判断flag是否为0,如果为0,检测到调试器,否则继续
;   执行下面的代码,正是我们复制的ZwContinue原始代码
_ZwContinue_b: db 0Fh dup (0)
comment $  
  77F5B638 > B8 20000000      MOV EAX,20
  77F5B63D   BA 0003FE7F      MOV EDX,7FFE0300
  77F5B642   FFD2             CALL EDX
  77F5B644   C2 0800          RETN 8
$
;   复制完成后,这里看起来应该是上边的样子
end start

perfectplug
关注
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4337
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
关于反调试及反反调试那些事
weixin_34176694的博客
05-22 759
前言 在逆向和保护的过程中,总会涉及到反调试和反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段以及反反调试的方法。 反调试 ptrace的 为了方便应用软件的开发和调试,从Unix的的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_DENY_A...
反调试 -- 利用ptrace阻止调试器附加
weixin_34268843的博客
07-04 1018
为了方便应用软件的开发和调试,UNIX的早期版本就提供了一种对运行时中的进程进行跟踪和控制的手段,那就是系统的ptrace。 这个函数在iOS中没有提供头文件,我们可在macOS中查看头文件的具体细节。pteace提供了一个非常有用的参数,PT_DENY_ATTACH,这是一个宏,这个参数用于告诉系统阻止调试器附加。 首先,可以将macOS下的头文件整体复制出来放到iOS工程下,方便使用。 ...
防止被进程附加调试
Crescens
11-22 2638
/**********************防止被进程附加调试*******************************/ bool AntiAttach() {       HMODULE ntdll; // ntdll handle        void* pDbgUiRemoteBreakin; // function handle        DWOR
防止调试事件被发往调试器
125096
04-14 779
typedef NTSTATUS(*fnZwSetInformationThread)(HANDLE ThreadHandle, THREADINFOCLASS ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength); fnZwSetInformationThread ZwSetInform
反调试技巧总结-原理和实现
weixin_34392435的博客
02-23 406
总结: 1. FindWindow。比如 FindWindowA("OLLYDBG", NULL); 2. EnumWindow函数调用后,系统枚举所有顶级窗口,为每个窗口调用一次回调函数。在回调函数中用 GetWindowText得到窗口标题,进行检测。 3. GetForeGroundWindow返回前台窗口(用户当前工作的窗口)。当程序被调试时,调用这个...
清空 _EPROCESS 结构体中的 DebugPort ,实现进程无法被附加调试
walker的博客
03-07 717
简介 在内核 _EPROCESS 中有一个 DebugPort 成员,该成员中存储的是一个内核调试对象地址。当调试器附加进程调试时,操作系统会在内核中创建一个调试对象,并将调试对象的地址写入对应被调试进程的 _EPROCESS 结构体中的 DebugPort 成员中,用于实现调试器与被调试进程之间建立联系。而清空该地址时,调试器将会与被调试进程之间失去关联,即无法继续调试该进程。 如果调试器重复多次发起调试请求,操作系统将会重复将调试对象的地址写入被调试进程。如果只将 DebugPort 清空一次,依然会
【如何给iOS APP加固】之防止动态调试及防止反向工程 第二章【附代码】
dingxiang234的博客
03-02 570
防止反向工程是iOS应用程序开发中非常重要的一部分,上述示例代码可以帮助您了解如何在应用程序中加入代码来保护应用程序的安全。在上述代码中,使用ptrace函数来禁用附加调试器的功能,并使用signal函数来处理调试信号。可以在应用程序中使用代码混淆技术,以使反向工程者无法理解应用程序的代码结构。在上述代码中,使用宏定义来加密函数名,使反向工程者无法轻易理解应用程序的代码结构。在上述代码中,将函数指针随机赋值为两个函数之一,以增加反向工程的难度。在上述代码中,通过检测当前进程的标记来判断是否存在调试器
gdb 调试gdb 调试gdb 调试gdb 调试gdb 调试
最新发布
07-19
gdb(GNU调试器)是GNU项目的一部分,主要用于程序的调试工作。它支持多种操作系统,并能够对C、C++等语言编写的程序进行调试。 ##### 显示gdb版本信息 ```bash gdb --version ``` 此命令用于显示当前gdb的版本信息...
AntiDebugging:用C ++编写的AntiDebugging示例源
01-30
在IT安全领域,"AntiDebugging"是一种技术,旨在防止恶意攻击者通过调试器分析或篡改程序的行为。本文将详细探讨使用C++实现的AntiDebugging策略,并结合提供的压缩包文件名,推测其可能包含的示例源代码。我们将...
某国内大型网游公司反调试器附加研究
我的幻想之都
02-13 1474
搞了一个晚上,天终于亮了,问题也解决了,VMP加检测DEBUG,再加代码DEBUG看了部分记录就知道了。。。原来很简单。 想CE就CE,想OD就OD 爽,累了。。。闪 ThreadId:a8d8 ==Starting:ThreadId:a8d8 ==Loading:ThreadId:a8d8 ==LoadLibraryExW:RPCRT4.dll,0x0,0x0,Addre
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2151
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
【Android 逆向】代码调试器开发 ( 代码调试器功能简介 | 设置断点 | 读写内存 | 读写寄存器 | 恢复运行 | Attach 进程 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 1069
一、代码调试器功能简介、 二、Attach 进程
SylixOS---Attach 到进程调试方法
陈言陈语的小陈
01-05 621
Attach 到进程 一、启动应用程序 为便于定位突发问题,SylixOS 支持 Attach 到现有进程的调试方式。为演示 Attach 调试 方式,本例修改源码,如图让应用程序以死循环方式不间断运行。 部署应用程序(本例上传到“192.168.7.30”),在“Device”页面,右键“192.168.7.30” 设备,点击“Launch Device”打开设备信息界面,切换到“Process”页查看进程信息。右 键“192.168.7.30”设备,点击“Launch Terminal”,打开设备终端
ANTI -附加OD 很早的了
爱杀之爪的矩阵
05-04 621
bool InstallAntiAttach(){     HMODULE ntdll;                   // ntdll handle     void* pDbgUiRemoteBreakin;       // function handle     DWORD dwOldProtect;              // just for fun     DWORD dw
逆向时如何找到MingGW(GNU)编译程序的main函数
輚至消亡
08-04 1050
为了探究里面究竟怎么回事, 我找到了wrk-v1.2的源码, 其中包含了ZwContinue的实现, 首先先看一下注释, API界面包含了2个参数, 其中让人感兴趣的是PCONTEXT, 这是一个线程上下文环境, 其中包含了线程的执行环境, 也许main函数主线程就是位于这个上下文环境中。方便让线程继续运行。编译器是MingGW生成的可执行文件的显著特点是, 最终运行ZwContinue后程序就莫名其妙启动了, 也找不到main函数。先忘了原本的目的, 既然都来了, 看一下这个API的实现。
APC异步过程调用
kernweak的博客
09-03 2491
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
Zw 系列函数
huanongying131的博客
11-19 3727
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8616
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
美河学习在线发布的Anti-DDoS产品文档
资源摘要信息: "美河学习在线***_Anti-DDoS产品文档(chm)" 知识点: 1. DDoS攻击概述 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种常见的网络攻击方式。通过利用大量的网络带宽或资源,攻击者...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值