Anti Debug

最新推荐文章于 2024-04-02 09:33:48 发布
最新推荐文章于 2024-04-02 09:33:48 发布
阅读量403 收藏
点赞数
文章标签: byte 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengdawei521/article/details/1756063
版权
一 、对抗动态调试
1 ring3的OD,
  当OD调试一程序时,被调试的程序是被调试器当做自己的一个子线程来进行跟踪。
  这时,被调试的程序所对应的进程环境块(Process Environment Block)结构的偏移2H处BeginDebugged标志的值是1,如果没有被调试器加载调试,则其值为0。
反调试代码:
BOOL BeDbg()
{
BOOL bRet = FALSE;

__asm
{
mov eax, fs:[30h]//获取线程环境块中对应的进程环境块的地址
movzx eax, byte ptr [eax + 2h]//获取BeginDebugged标志的值
or al, al//测试BeginDebugged标志的值
jz @NO
jnz @YES
@NO:
 mov bRet, 0
@YES:
 mov bRet, 1
}

return bRet;
}
pengdawei521
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
anti-debug1——侦测
40KO的博客
01-23 411
BeingDebugged标记 最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()->BeingDebugged; } 要找到BeingDebugged在当前进...
实战案列:AntiDebug
YJJYXM的博客
12-07 513
Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。
Anti-Debug 小试牛刀
狼族小子的专栏
12-04 3306
Anti-Debug 小试牛刀  本文整理了日常生活中遇到的一些Anti-Debug技术,除非特殊说明,均适用于Mac/iOS开发 作为第一篇正式博文,会不定期更新,谢谢大家. 禁止附加或调试-ptrace中断检测-int3检测lldb更多 禁止附加或调试-ptrace PT_DENY_ATTACH1 is an Apple-specific constant
探秘 `anti-debug`:一种强大的反调试工具
最新发布
gitblog_00041的博客
04-02 346
探秘 anti-debug:一种强大的反调试工具 项目地址:https://gitcode.com/gnaixx/anti-debug 在软件安全和逆向工程领域,对抗调试是一项关键的技术。anti-debug 是一个开源项目,旨在帮助开发者和安全研究人员构建具有反调试特性的应用程序。通过深入理解这个项目,我们可以更好地保护自己的代码免受恶意分析。 项目简介 该项目由 gnaixx 开发并维护,提...
AntiDebug0_AntiDebug_windows_programming_
10-04
"AntiDebug0_AntiDebug_windows_programming_"这个主题探讨的是在Windows环境下防止调试的一些策略,这是"antidebugging tricks in windows part 1"的第一部分。 1. **检查调试器是否存在** - **IsDebuggerPresent...
AntiDebug1_AntiDebug_windows_programming_
10-01
"AntiDebug1_AntiDebug_windows_programming_"这个主题涉及到的就是这些反调试技巧的第一部分。 反调试技术主要目标是使恶意软件或保护性程序更难以分析,以防止黑客、研究人员或安全工具深入探索其内部工作原理。...
巧妙利用SEH异常链AntiDebug及Od反AntiDebug1
08-08
《巧妙利用SEH异常链进行AntiDebug及OD反AntiDebug技术解析》 在软件安全领域,反调试技术是开发者用来防止恶意分析或逆向工程的一种手段。本文将深入探讨如何利用Structured Exception Handling(SEH)异常链进行...
AntiDebug:PoC
04-27
反调试在Visual Studio中构建(.net 3.5,因此它可以在Win 7+上运行)。 这将产生一个监视进程来监视父进程,并且每个进程都会在彼此之间pinvoke调试器线程。 如果任何一个进程被杀死(父进程或子进程),它们都会...
Antidebug code
08-09
反调试(Antidebug)旨在防止恶意攻击者通过调试工具分析程序内部逻辑,找出漏洞或逆向工程来篡改软件。在给定的资料中,我们可以看到一系列与VC++相关的源代码文件,它们很可能包含了不同类型的反调试策略。以下将...
al-khaser:野外使用的公共恶意软件技术
05-22
Al-Khaser v0.80 内容 介绍 al-khaser是具有良好意图的PoC“恶意软件”应用程序,旨在强调您的反恶意软件系统。 它执行一系列常见的恶意软件技巧,以查看您是否处于监视之下。 下载 您可以在此处下载最新版本: x86 | x86 。 x64 。 抱歉,由于二进制文件触发了Google的“安全浏览”启发式操作,因此已被删除。 可能的用途 您正在制作一个防调试插件,并且想要检查其有效性。 您要确保沙盒解决方案足够隐藏。 或者,您想确保您的恶意软件分析环境隐藏得很好。 请,如果您遇到了在恶意软件中遇到的任何反分析技巧,请不要犹豫做出贡献。 特征 反调试攻击 IsDebuggerPresent CheckRemoteDebuggerPresent 流程环境块(已调试) 流程环境块(NtGlobalFlag) ProcessHeap(标志) Proces
种类齐全的调试与反调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
12306Bypass_1.9.10
01-21
12306火车票抢票软件12306bypass最新1.9.10版本,本人亲测可用
anti-debug2——扰乱
40KO的博客
01-23 490
利用SEH反调试 在SEH的机制下,当发生异常时,操作系统会接收这个异常然后调用进程中注册的SEH处理,但这样的异常发生在调试中时,异常就会由调试器来接收处理,根据这个特征就可用来反调试。 EXCEPTION_BREAKPOINT是断点异常,若程序处于调试运行状态。则系统会立刻停止运行程序,并将控制权交给调试器。所以当遇到int3指令时,正常运行的程序会调用SEH中的代码处理,而调试中的...
anti-debug0——结构
40KO的博客
01-23 203
注:这里的反调试技术主要针对Windows平台 TEB TEB指线程环境块,它是一个结构体,包含进程中运行线程的各种信息,每个线程中都有一个对应的TEB结构体。由于这个结构体实在太复杂,这里只说几个跟调试有关的部分。 +0x30 ProcessEnvironmentBlock 它是指向PEB结构体的指针,PEB是进程控制块,每个进程都有一个对应的PEB +0x00 Nt...
Anti Debug:实战讲解
YJJYXM的博客
09-10 576
安卓逆向交流学习:342647370 vx:yijin1108an Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。 一.IDA里面静态分析so文件 1.将文件拖入jdax-gui中,进行静态分析,会发现OnCreate里面没多少内容,并且上面加载了so库,如下图所示。 2.将SO文件拖入,找到JNI_OnLoad,如下图所示。 3.按F5查看伪代码,如下图所示。 4.除了动态注册这个参数外,还有两个参数的传递,其中一个是简单的if判断,它使用的是或运算符,只要其中有一个成立
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2097
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 886
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
al-khaser学习笔记(一)Anti Debug
weixin_30528371的博客
09-07 492
al-khaser 最近在研究开源项目al-khaser在野恶意软件使用的常用技术 github https://github.com/LordNoteworthy/al-khaser Anti Debug 这一部分主要是通过各种函数去确定当前进程是否处于被调试的状态。 VOID exec_check(int(*callback)(), TCHAR* szMsg) 两参数,第一...
Windows反调试技术深度解析:经典与高级策略
本文档《Windows Anti-Debug Reference》是由Nicolas Falliere在2007年9月12日编写的,主要介绍了Windows NT系列操作系统中的反调试(Anti-Debug)技术和反追踪策略。反调试技术是一种程序用来检测自身是否在调试器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值