逆向学习笔记(3)——静态反调试技术

最新推荐文章于 2021-12-07 10:12:18 发布
最新推荐文章于 2021-12-07 10:12:18 发布
阅读量395 收藏
点赞数
分类专栏: 逆向工程笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/musilintan/article/details/115620594
版权

1.PEB结构

+0x002 BeingDebugged     : UChar
+0x00c Ldr               : Ptr32 _PEB_LDR_DATA
+0x018 ProcessHeap       : Ptr32 Void
+0x068 NtGlobalFlag      : Uint4B
...

1)BeingDebugged(+0x002)

当进程处于调试状态时,该标识为1,反之为0。

对应的API是IsDebuggerPresent(),用于获取当前进程的调试状态。

2)Ldr(+0x00c)

当进程处于调试状态时,堆内存区域会出现一些特殊标识,如0xEEFEEEFE等。而PEB.Ldr则是在堆内存中创建的,所以扫描该区域查看是否存在特殊标识。Ldr的结构类型是_PEB_LDR_DATA。

3)Process Heap(+0x18)

该成员的结构类型为HEAP如下:

0x000 Entry                      : _HEAP_ENTRY
0x008 Signature                  : Uint4B
0x00c Flags                      : Uint4B
0x010 ForceFlags                 : Uint4B
0x014 VirtualMemoryThreshold     : Uint4B
0x018 SegmentReserve             : Uint4B
0x01c SegmentCommit              : Uint4B
0x020 DeCommitFreeBlockThreshold : Uint4B

对应获取该结构的API是GetProcessHeap();

其中Flags(+0xC)和Force Flags(+0x10)这两个变量常用来识别调试状态。当处于正常状态下,Flags的值为0x2,ForceFlags的值为0x0。当处于调试状态时,这两个值会发生变化。

4)NtGlobalFlag(+0x68)

当处于调试状态时,该变量的值为0x70。

2.NtQueryInformationProcess()

该函数可以获取到与进程调试相关的信息。定义如下:

NTSTATUS WINAPI NtQueryInformationProcess(
    __in HANDLE ProcessHandle,
    __in PROCESSINFOCLASS ProcessInformationClass,
    __out PVOID ProcessInformation,
    __in ULONG ProcessInformationLength,
    __out_opt PULONG ReturnLength
);

其中第二个参数是用来获取指定信息的枚举类型,定义如下:

enum PROCESSINFOCLASS
{
    ProcessBasicInformation = 0,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
    ProcessBasePriority,
    ProcessRaisePriority,
    ProcessDebugPort = 7,
    ProcessExceptionPort,
    ProcessAccessToken,
    ProcessLdtInformation,
    ProcessLdtSize,
    ProcessDefaultHardErrorMode,
    ProcessIoPortHandlers,
    ProcessPooledUsageAndLimits,
    ProcessWorkingSetWatch,
    ProcessUserModeIOPL,
    ProcessEnableAlignmentFaultFixup,
    ProcessPriorityClass,
    ProcessWx86Information,
    ProcessHandleCount,
    ProcessAffinityMask,
    ProcessPriorityBoost,
    MaxProcessInfoClass,
    ProcessWow64Information = 26,
    ProcessImageFileName = 27,
    ProcessDebugObjectHandle = 30,
    ProcessDebugFlags = 31,
};

1)ProcessDebugPort(0x7)

当进程处于调试状态时,获取的值为0xFFFFFFFF,如果处于非调试状态,则获取的值为0.

对应的API为CheckRemoteDebuggerPresent(),该函数还可以获取其他进程的调试状态。

2)ProcessDebugObjectHandle(0x1E)

当进程处于调试状态时,会生成调试对象(Debug Object)。使用ProcessDebugObjectHandle则可以获取调试对象的句柄,如果处于非调试状态,返回结果为NULL。

3)ProcessDebugFlags(0x1F)

当进程处于调试状态时,获取的值为0。反之为1。

3.NtQuerySystemInformation()

该函数可以用来获取系统环境是否处于调试状态。类似的winDbg调试虚拟机,则虚拟机系统就处于一个被调试状态。因为想要调试虚拟机需要配置系统为调试状态。xp修改C:\boot.ini,win7使用bcdedit.exe来修改调试状态。

因此利用这种方式,可以知道当前进程是否在一个可调试系统中运行,因为常规电脑是不会被作为调试机的。

函数定义如下:

NTSTATUS WINAPI NtQuerySystemInformation(
    __in SYSTEM_INFORMATION_CLASS SystemInformationClass,
    __inout PVOID SystemInformation,
    __in ULONG SystemInformationLength,
    __out_opt PULONG ReturnLength
);

其中第一个参数是一个枚举类型,如下:

typedef enum _SYSTEM_INFORMATION_CLASS{
    SystemBasicInformation = 0,
    SystemPerformanceInformation = 2,
    SystemKernelDebuggerInformation = 35,
    ...
};

其中的SystemKernelDebuggerInformation可以获取系统的调试状态信息。返回结构如下:

typedef struct _SYSTEM_KERNEL_DEBUGGER_INFORMATION
{
    BOOLEAN DebuggerEnabled;
    BOOLEAN DebuggerNotPresent;
}SYSTEM_KERNEL_DEBUGGER_INFORMATION;

当系统处于调试状态时,DebuggerEnabled的值为1,DebuggerNotPresent的值恒为1。

4.NtQueryObject()

系统中的某个调试器调试进程时,会创建一个调试对象类型的内核对象。检测该对象是否存在即可判断是否有进程正在被调试。

而NtQueryObject()用来获取系统中各类型内核对象信息。定义如下:

NTSTATUS NtQueryObject(
    __in_opt HANDLE Handle,
    __in OBJECT_INFORMATION_CLASS ObjectInformationClass,
    __out_opt PVOID ObjectInformation,
    __in ULONG ObjectInformationLength,
    __out_opt PULONG ReturnLength
);

其中第二个参数是一个枚举类型,定义如下:

typedef enum _OBJECT_INFORMATION_CLASS{
    ObjectBasicInformation,
    ObjectNameInformation,
    ObjectTypeInformation,
    ObjectAllTypesInformation,
    ObjectHandleInformation
}OBJECT_INFORMATION_CLASS;

使用ObjectAllTypesInformation可以获取到系统中所有类型的对象信息。信息结构定义如下:

typedef struct _LSA_Unicode_STRING{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
}LSA_Unicode_STRING, *PLSA_Unicode_STRING, Unicode_STRING, *PUnicode_STRING;

typedef struct _OBJECT_TYPE_INFORMATION{
    Unicode_STRING TypeName;
    ULONG TotalNumberOfHandles;
    ULONG TotalNumberOfObjects;
}OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

typedef struct _OBJECT_ALL_INFORMATION{
    ULONG NumberOfObjectsTypes;
    OBJECT_TYPE_INFORMATION ObjectTypeInformation[1];
}OBJECT_ALL_INFORMATION, *POBJECT_ALL_INFORMATION;

关键判断代码:

for(UINT i = 0; i<pObjectAllInfo->NumberOfObjectsTypes; i++)
{
    pObjectTypeInfo = (POBJECT_TYPE_INFORMATION)pObjectInfoLocation;
    if(wcscmp(L"DebugObject", pObjectTypeInfo->TypeName.Buffer) == 0)
    {
        bDebugging = (pObjectTypeInfo->TotalNumberOfObjects > 0) ? TRUE : FALSE;
        break;
    }
    
    //计算下一个结构体
    pObjectInfoLocation = (UCHAR*)pObjectTypeInfo->TypeName.Buffer;
    pObjectInfoLocation += pObjectTypeInfo->TypeName.Length;
    pObjectInfoLocation = (UCHAR*)(((ULONG)pObjInfoLocation & 0xFFFFFFFC)+sizeof(ULONG));
}

5.ZwSetInformationThread()

用来强制分离(Detach)被调试者和调试器。可以将自身从调试器中分离出来。函数定义如下:

typedef enum _THREAD_INFORMATION_CLASS{
    ThreadBasicInformation,
    ThreadTimes,
    ThreadPriority,
    ThreadBasePriority,
    ThreadAffinityMask,
    ThreadImpersonationToken,
    ThreadDescriptorTableEntry,
    ThreadEnableAlignmentFaultFixup,
    ThreadZeroTlsCell,
    ThreadPerformanceCount,
    ThreadAmILastThread,
    ThreadIdealProcessor,
    ThreadPriorityBoost,
    ThreadSetTlsArrayAddress,
    ThreadIsIoPending,
    ThreadHideFromDebugger = 17
}

NTSTATUS ZwSetInformationThread(
    __in HANDLE ThreadHandle,
    __in THREADINFOCLASS ThreadInformationClass,
    __in PVOID ThreadInformation,
    __in ULONG ThreadInformationLength
);

其中ThreadHandle用来接收当前线程句柄,ThreadInformationClass表示线程信息类型,如果将其设置为ThreadHideFromDebugger(0x11),则调用函数后,调试进程会被分离出来。如果是正常的进程则不会受到影响。如果是调试中的进程,调试器和被调试进程都会终止。

6.TLS回调函数

由于TLS回调函数可以先于EP代码运行,所以常用来做反调试使用。可以在回调函数中使用类似IsDebuggerPresent()来检测调试状态。

7.ETC

通过检测自身所处环境来达到反调试的目的,不需要刻意检测是否处于调试状态。检测周边环境的方法有如下几种:

1)检测OllyDbg窗口->FindWindow()

2)检测OllyDbg进程->CreateToolhelp32Snapshot()

3)检查计算机名称是否为“TEST”、“ANALYSIS”等->GetComputerName()

4)检查程序运行路径中是否存在“TEST”、“SAMPLE”等名称->GetCommandLine()

5)检测虚拟机是否处于运行状态(查看虚拟机特有的进程名称->VMWareService.exe、WMWareTray.exe、WMWareUser.exe等)。

孤月丶星辰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第22章-OllyDbg调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
第二十二章-OllyDbg 调试之 UnhandledExceptionFilter,ZwQueryInformationProcess本章我们继续讨论调试
180311 逆向-调试技术(4)SystemKernelDebuggerInformation
whklhhhh的博客
03-23 1008
1625-5 王子昂 总结《2018年3月11日》 【连续第526天总结】 A. 调试技术(4) B. SystemKernelDebuggerInformation NativeAPI中还有一个函数ZwQuerySystemInformation 当SystemInformation = SystemKernelDebuggerInformation的时候可以判断是否有系统调...
Win32下常见调试技术
HexRain的专栏
12-17 4889
1 探索内存差异 跟到的一个IceSword用户层程序中的一个调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
Windows调试技术参考
子曰小玖的博客
01-08 1272
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文中,我们假设所有的程序都是在Rin...
【翻译】Windows 调试参考翻译
lwglucky的专栏
03-24 2138
[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的调试技术.调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的
安卓逆向学习笔记之定制ART,绕过所有调试.docx
最新发布
04-13
安卓逆向学习笔记之定制ART,绕过所有调试.docx
app逆向学习相关笔记
12-13
app逆向笔记
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
Android逆向之动态调试技术
01-19
本篇内容将深入探讨Android逆向中的动态调试技术,特别是针对APK的Smali代码的调试。 首先,进行Android逆向工作之前,必须确保设备已获得Root权限。Root权限允许访问系统级别的文件和功能,这对于调试和修改系统或...
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
调试技术总结(看雪)
eli的博客
12-07 2679
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试学习
haodawei123的博客
12-18 226
1、PEB调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
C# Winform应用程序占用内存较大解决方法整理(转)-- SetProcessWorkingSetSize
sinat_15155817的专栏
11-16 7200
一、C# Winform应用程序占用内存较大解决方法整理(转) 原文:  http://www.jb51.net/article/56682.htm 背景: 微软的 .NET FRAMEWORK 现在可谓如火如荼了。但是,.NET 一直所为人诟病的就是“胃口太大”,狂吃内存,虽然微软声称 GC 的功能和智能化都很高,但是内存的回收问题,一直存在困扰,尤其是 winform 程序,其主要原因
遍历进程内存
qq_41490873的博客
11-30 990
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
Windows Process内存组织结构及重要域解析
lbq1221119
07-22 920
最近恶补操作系统和一些底层的知识。遂写篇文章来说说从操作系统的角度来研究Process的一些结构,实现,Porcess的初始化,重要的结构体域的定义,代表的含义,如何组织起来的,等。还有在前段时间研究托管的static字段到底在内存中如何组织的时候,遇到的handle table不熟悉的问题。       一个xp里面的Process,是由几个Eprocess,执行体进程块
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1922
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4693
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
监控自身进程指定内存块是否被读写(防CE)
IT男也疯狂
06-28 6471
无意当中看到的一种监控读写的方法,写了个DEMO留档// WsWatch.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include &lt;Psapi.h&gt; #pragma comment(lib, "psapi.lib") #ifndef PAGE_SIZE #define PAGE_SIZE 0x1000 #endif #define N...
Process Environment Block(PEB)
寻梦&之璐
01-25 5166
简介 PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
逆向学习汇编语言学习笔记
08-12
对于逆向学习汇编语言的学习笔记,我可以给你一些基本的指导。首先,汇编语言是一种低级语言,它与计算机的底层硬件密切相关。逆向工程则是通过分析和理解已编译的程序来获取程序的内部信息。 以下是一些学习汇编...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孤月丶星辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值