Anti Debug 二

最新推荐文章于 2024-06-26 09:45:47 发布
最新推荐文章于 2024-06-26 09:45:47 发布
阅读量416 收藏
点赞数
分类专栏: AntiVirus & Reverse 文章标签: 汇编 api c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengdawei521/article/details/1803714
版权
利用GetTickCount API的Anti Debug的例子, 反汇编代码:

004088C8  |.  FF55 EC       CALL DWORD PTR SS:[EBP-14]               ;  GetTickCount
004088CB  |.  8945 F8       MOV DWORD PTR SS:[EBP-8],EAX;得到第一个GetTickCount值
004088CE  |.  68 96000000   PUSH 96
004088D3  |.  FF55 E8       CALL DWORD PTR SS:[EBP-18]               ;  Slepp
004088D6  |.  FF55 EC       CALL DWORD PTR SS:[EBP-14]               ;  GetTickCount
004088D9  |.  8945 F4       MOV DWORD PTR SS:[EBP-C],EAX;得到第二个GetTickCount值
004088DC  |.  68 96000000   PUSH 96
004088E1  |.  FF55 E8       CALL DWORD PTR SS:[EBP-18]               ;  Sleep
004088E4  |.  FF55 EC       CALL DWORD PTR SS:[EBP-14]               ;  GetTickCount
004088E7  |.  8945 F0       MOV DWORD PTR SS:[EBP-10],EAX;得到第三个GetTickCount值
004088EA  |.  8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
004088ED  |.  2B45 F8       SUB EAX,DWORD PTR SS:[EBP-8]
004088F0  |.  83F8 64       CMP EAX,64     ;第二个GetTickCount与第一的差不能大小于等于0x64
004088F3  |.  7D 11         JGE SHORT IMG012_J.00408906
004088F5  |.  8B45 F0       MOV EAX,DWORD PTR SS:[EBP-10]
004088F8  |.  2B45 F8       SUB EAX,DWORD PTR SS:[EBP-8]
004088FB  |.  3D FA000000   CMP EAX,0FA   ;第三个GetTickCount与第一的差不能大小于等于0xFA
00408900  |.  7D 04         JGE SHORT IMG012_J.00408906
 ...
00408906 ...

DWORD dwTickCount1 = 0, dwTickCount2 = 0, dwTickCount3 = 0;
dwTickCount1 = GetTickCount();
Sleep(0x96);
GetTickCount2 = GetTickCount();
Sleep(0x96);
GetTickCount3 = GetTickCount();
if ((GetTickCount2 - GetTickCount1 >= 0x64) || (GetTickCount3 - GetTickCount1 >= 0xFA))
{
 //Format (c:, d:, e:, f:);
 exit(1);//或者打转转
}
pengdawei521
关注
专栏目录
Anti Debug:实战讲解
YJJYXM的博客
09-10 589
安卓逆向交流学习:342647370 vx:yijin1108an Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。 一.IDA里面静态分析so文件 1.将文件拖入jdax-gui中,进行静态分析,会发现OnCreate里面没多少内容,并且上面加载了so库,如下图所示。 2.将SO文件拖入,找到JNI_OnLoad,如下图所示。 3.按F5查看伪代码,如下图所示。 4.除了动态注册这个参数外,还有两个参数的传递,其中一个是简单的if判断,它使用的是或运算符,只要其中有一个成立
实战案列:AntiDebug
YJJYXM的博客
12-07 526
Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。
OD Anti Debug 研究笔记
weixin_30822451的博客
09-06 191
V盾网络验证 Anti Debug 1.V盾debug.exe 0044B77C . FF15 D0F24700 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread 创建线程api CreateThread (OD附加程序后 按T可以看到程序调用的线程地址) 0012FC8C...
探索 AntiDebug:一款强大的反调试工具
gitblog_00013的博客
03-31 938
探索 AntiDebug:一款强大的反调试工具 项目地址:https://gitcode.com/weikaizhi/AntiDebug 项目简介 在信息安全领域,AntiDebug 是一个开源的、跨平台的反调试库,旨在帮助开发者保护他们的应用程序免受恶意调试器的攻击。通过检测和应对各种调试标志和调试技术,它为你的代码添加了一层额外的安全防护。该项目由开发者 weikaizhi 创建并维护,源代...
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 945
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
探索高效安全的程序调试防御——anti-debug
最新发布
gitblog_00032的博客
06-26 308
探索高效安全的程序调试防御——anti-debug 项目地址:https://gitcode.com/alphaSeclab/anti-debug 1、项目介绍 在软件开发中,防止未经授权的调试是一个重要的安全性需求。anti-debug 是一个开源项目,专为对抗恶意或非法的程序调试设计。它提供了一套跨平台的API和库,可以帮助开发者构建自我保护的应用,有效检测并阻止外部调试器的挂接,保护代码的安...
探索反调试技术:AntiDebug - 守护你的代码安全
gitblog_00070的博客
03-31 379
探索反调试技术:AntiDebug - 守护你的代码安全 项目地址:https://gitcode.com/name-cpu/AntiDebug ![GitHub仓库](https://img.shields.io/badge/GitCode- AntiDebug-blue) 在软件开发中,保护程序不被恶意逆向工程分析是至关重要的。为此,我们想向您推荐一个名为AntiDebug的开源项目,它提供了...
anti-debug2——扰乱
40KO的博客
01-23 526
利用SEH反调试 在SEH的机制下,当发生异常时,操作系统会接收这个异常然后调用进程中注册的SEH处理,但这样的异常发生在调试中时,异常就会由调试器来接收处理,根据这个特征就可用来反调试。 EXCEPTION_BREAKPOINT是断点异常,若程序处于调试运行状态。则系统会立刻停止运行程序,并将控制权交给调试器。所以当遇到int3指令时,正常运行的程序会调用SEH中的代码处理,而调试中的...
反调试 anti-debug
weixin_30437337的博客
06-29 183
详解反调试技术 https://blog.csdn.net/qq_32400847/article/details/52798050 2种基于异常机制的反调试方法 https://blog.csdn.net/lixiangminghate/article/details/47950929 基础反调试技术总结 https://bbs.pediy.com/thread-21237...
AntiDebug1_AntiDebug_windows_programming_
10-01
"AntiDebug1_AntiDebug_windows_programming_"这个主题涉及到的就是这些反调试技巧的第一部分。 反调试技术主要目标是使恶意软件或保护性程序更难以分析,以防止黑客、研究人员或安全工具深入探索其内部工作原理。...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
巧妙利用SEH异常链AntiDebug及Od反AntiDebug1
08-08
《巧妙利用SEH异常链进行AntiDebug及OD反AntiDebug技术解析》 在软件安全领域,反调试技术是开发者用来防止恶意分析或逆向工程的一种手段。本文将深入探讨如何利用Structured Exception Handling(SEH)异常链进行...
Sality.q病毒变种之EXE感染方式分析
04-10 1255
/* Sality.q病毒变种之EXE感染方式分析 * 文件名:vcmgcd32.dll * MD5:ae22ca9f11ade8e362254b452cc07f78 * 壳:未加 * By Vincent.peng on 2008.04.08 */调试方法:在Fun为10003FF0的CreateThread断下,然后转EIP到10003FF0处。一、感染过程分析:1 保存文件属性、时间。2 设
强悍的PegeFile.pif(下载者+ARP欺骗)分析
08-09 1016
中毒后的现象: 1)下载N多木马, 2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。 隐藏的有点诡异, 产生的文件: 1) 每个磁盘分区下都有这两个文件:     autorun.inf     PegeFile.pif 2) 其他文件 c:/windows/    TIMHost.exe    NVDispDrv.ex
com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第一博
01-08 920
    为XXX研究所提供技术支持时截获的样本,com/lsass.exe smss.exe,病毒中文名为磁碟机病毒,貌似很强,此等病毒岂能错过,分析之,不感独乐,遂将感染方式贴上:感染文件类型:(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的:document.write(""); 则在文件
一段加密的Javascript风险代码
10-19 779
一段加密的Javascript风险代码,利用IE及其插件漏洞传播病毒:var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT
sysload3.exe 感染型病毒分析
04-06 774
sysload3.exe分析结果:一、基本信息MD5:e1c174d72cca73ade18c72772d840794 、病毒特征 感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。三、病毒现象 1 创建自启动项: HKEY_CURRENT_USER/Software/Microsoft/W
Windows自动启动归纳:
04-30 743
Windows自动启动归纳:一、Run键值实现 1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce    HKEY_LOCAL_MACHINE/SOFTWARE/Micro
Windows反调试技术深度解析:经典与高级策略
9. **CPU anti-debug**:针对处理器级别的技术,如Rogue Int3(伪造中断)、Ice Breakpoint(陷阱指令)、Interrupt 2 Dh(特殊中断)、timestamp counters(时间戳计数器)等。 10. **Debug registers ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值