反调试ASM代码

最新推荐文章于 2021-02-05 22:49:57 发布
最新推荐文章于 2021-02-05 22:49:57 发布
阅读量228 收藏
点赞数 1
分类专栏: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/113662849
版权

汇编语言 反调试 消息框 性能检测 调试器检查
关键词由CSDN通过智能技术生成 
#include<Windows.h>
#include<iostream>
using namespace std;
_declspec(naked)void messageBoxAsm(const char *memoryASCII) {
	__asm {
		mov ebp,esp
		pushad
		push 0x0
		push 0x0
		push dword ptr ss:[ebp+0x4]
		push 0x0
		call MessageBoxA
		popad
		retn
	}
}
_declspec(naked)unsigned short demo(const char* memoryASCII) {
	__asm {
		mov ebp,esp
		pushad
		push dword ptr ss:[ebp+0x4]
		call messageBoxAsm
		pop eax
		popad
		mov eax, 0x3
		retn
	}
}

_declspec(naked)DWORD tebInfo0x4() {
	__asm {
		mov ebp,esp
		pushad
		mov eax, fs: [0x18]
		mov eax, dword ptr[eax + 0x4]
		popad
		retn
	}
}
_declspec(naked)DWORD tebInfo0x8() {
	__asm {
		mov ebp, esp
		pushad
		mov eax, fs: [0x18]
		mov eax,dword ptr[eax+0x8]
		popad
		retn
	}
}
//内嵌call
_declspec(naked)DWORD boxShowAsm(const char * ascii) {
	__asm {
		mov ebp,esp
		pushad
		push dword ptr ss:[ebp+0x4]
		boxMain:
			mov ebp,esp
			push ebp
			push 0x0
			push 0x0
			push dword ptr ss:[ebp+0x0]
			push 0x0
			call MessageBoxA
			pop ebp
			jmp retn1
			retn1:
		add esp,0x4
		popad
		retn
	}
}
//反调试检查beingDebugger
_declspec(naked)DWORD beingDebugger(){
	__asm {
		mov ebp,esp
		push ebp
		push ebx
			mov eax,dword ptr fs:[0x30]
			mov ebx,dword ptr[eax+0x2]
			mov eax,ebx
		pop ebx
		pop ebp
		retn
	}
}
//ntGlobFlag标志检查(反调试)
_declspec(naked) DWORD ntGlobFlag() {
	__asm {
		mov ebp,esp
		push ebp
		mov eax,dword ptr fs:[0x30]
		mov eax,dword ptr [eax+0x68]
		pop ebp
		retn
	}
}
//INT3扫描
_declspec(naked)DWORD scannerINT3() {
	__asm {
		mov ebp,esp
		push ebp
		push ecx
		call $+0x5
		pop edi
		sub edi,0x5
		mov ecx,0x400
		mov eax,0xCC
		repne scasb
		mov eax,ecx
		pop ecx
		pop ebp
		retn
	}
}
//时钟检查
_declspec(naked)DWORD rdstcExamine() {
	__asm {
		mov ebp,esp
		push ebp
		rdtsc
		mov ecx,eax
		rdtsc
		sub eax,ecx
		pop ebp
		retn
	}
}
虚构之人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
汇编级别调试(1)
青月的成长记录吖
03-24 227
对于一些调试器可能会崩溃,当EIP用作异常处理地址之后,INT 2D指令后的代码将会被跳过,可能跳入到一些非法指令处。在异常处理程序中,我们设置一个寄存器,该寄存器充当指令计数器(在本例中为EAX)和指令指针EIP的角色,以将控制权传递给序列中的下一条指令。在没有调试器的情况下,在到达INT3指令后,将生成异常EXCEPTION_BREAKPOINT (0x80000003),并将调用异常处理程序。在下面的例子中,如果在od调试器,当步入到 0xF3 时,我们会直接跳到 try 的末尾。
C32Asm编译软件)
03-13
作为一款必不可少的工具,C32Asm不仅能够帮助用户跟踪可执行文件(EXE)的断点,更可以实现对软件内部代码的直接修改,极大地推动了程序分析与调试的进程。 编译是计算机科学中的一个重要概念,它是指将已编译的...
开源项目asmjit——调用自定义方法demo以及windbg调试
dfe30001的博客
01-05 659
asmjit是一个开源项目,使用它可以将代码即时的编译成机器码,也就是所谓的jit技术。 初次接触这个项目,编写了一个demo,学习它的使用方法。 现将编写的demo以及调试jit生成的机器码的过程总结出来,分享给大家 asmjit调用自定义方法的demo 代码如下 #include "asmjit.h" // [Dependencies - C] #includ...
《汇编: asm函数》
yexiangCSDN的专栏
09-12 9704
在linux源码中经常遇到__asm__函数。它其实是函数asm的宏定义 #define __asm__ asmasm函数让系统执行汇编语句。 __asm__常常与__volatile__一起出现。__volatile__限制编译器不能对下面的汇编语句进行优化处理。 分析下面语句 __asm__("movb %3,%%dh\n\t" \ "movb %2,%%dl\n\t" \ "...
C/C++ 调试与绕过手法
CSDN
09-13 5487
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的调试基础的实现原理以及如何过掉这些调试手段,从而让我们能够继续分析恶意代码
ASM内存花指令
qq_18811919的博客
02-05 312
//随便写的混淆指令用于被探测到调试后执行迷惑调试人员,很多实现效率很差欢迎大家留言改正。 _declspec(naked)void jmpFunction(DWORD Memory) { __asm { mov ebp,esp push ebp jmp dword ptr ss:[ebp+0x4] pop ebp retn } } _declspec(naked)void memoryCopy(void *SourceMemory,void *TargeMemory) { __a
汇编c32asm.zip
10-08
汇编模式下,C32asm能够解析二进制文件,将其转化为汇编代码,帮助开发者理解程序的底层运行机制。这种能力对于软件调试、病毒分析以及安全研究等领域尤为关键。而其十六进制编辑模式则允许用户直接对二进制数据...
W32asm 无极版 汇编工具W32asm 无极版 汇编工具
09-27
W32asm 无极版是一款强大的汇编工具,专为Windows平台上的exe文件设计,用于解析和理解二进制代码,将其转换为人类可读的汇编语言。这款工具对于软件开发者、逆向工程师以及安全研究人员来说是不可或缺的资源,...
cpp-makin揭示调试技巧
08-15
在IT行业中,尤其是在软件开发和安全领域,调试技术是一种重要的知识。调试是指通过各种手段使得调试器无法正常工作,以防止恶意攻击者或逆向工程师分析程序的行为。本篇将深入探讨C++中的调试技巧,这些技巧...
C32Asm汇编程序.rar
09-23
汇编器是计算机科学领域中的一种重要软件,它的主要功能是将机器语言(二进制代码)转换成人类可读的汇编语言,这对于软件调试、逆向工程、病毒分析以及软件安全研究等领域有着至关重要的作用。C32Asm在这些方面...
简单的栈回溯 & 简单的栈回溯欺骗 -- 简单分析
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
asm基础】计算机的原码和补码
jiangwei0512的博客
03-11 810
asm基础】计算机中的原码和补码。
一段简单的调试代码
fisher_jiang的专栏
07-12 1791
Submitted by 李马 on 2008, July 25, 11:06 AM. 技术的角落本文链接:http://www.titilima.cn/show-258-1.html对于检测调试器来说,其实 Win32 API 中有现成的 IsDebuggerPresent 可以使用,不过调试器可以很容易地挂钩这个 API,使得被调试的进程检测调试器失败。这里给出一段简单的代
AT&T 汇编指令说明
Mr. li linux love
04-18 4992
在阅读linux/unix内核源代码的时候,必须先掌握汇编,大家都知道,内核代码用的编译器是gcc,而gcc采用的是AT&T的汇编格式,与MS的intel有些区别。一 AT&T的基本语法语法上主要有以下几个不同. ★ 寄存器命名原则 AT&T: %eax Intel: eax ★ 源/目的操作数顺序 AT&T: movl %eax,%ebx Intel: mov ebx
调试技巧总结-原理和实现
瞎几把学
01-18 3527
 标 题: 【原创】调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40链 接: http://bbs.pediy.com/showthread.php?t=70470调试技巧总结-原理和实现-------------------------------------------------------
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
函数调用-栈的关系
hanchaoman的专栏
06-29 4891
我们先不管现在EBP指向的内存(0x000f)中的内容XXX是什么(要不然会是鸡生蛋生鸡的问题),总之目前在栈中的着色块中的内容是属于函数Z的参数,Z执行结束后应该返回的地址以及Z函数的局部变量值。现在Z函数调用A函数,会先将传给A的参数压栈,然后将现在这个指令(就是"Call A"啦)的下一个指令的地址压入栈中,以便A函数完后返回到Z中继续执行。然后进入A函数的内存空间,首先就是调
代码实现windows调试
最新发布
05-21
在 Windows 系统中,调试通常通过检查系统中是否存在某些调试器程序来实现。以下是一个简单的示例代码,演示如何检测是否存在调试器: ```c++ #include <windows.h> #include <stdio.h> BOOL CheckDebugger() { BOOL bDebuggerPresent = FALSE; __try { __asm { int 3 mov eax, 0 mov ebx, 1 mov ecx, 0 mov edx, 0 int 2dh cmp eax, 0x80000000 jne notfound mov bDebuggerPresent, 1 } notfound: } __except(EXCEPTION_EXECUTE_HANDLER) { // Exception occurred } return bDebuggerPresent; } int main() { if (CheckDebugger()) { printf("Debugger detected!\n"); } else { printf("Debugger not detected.\n"); } return 0; } ``` 该代码使用了汇编指令 `int 3`,它会触发一个中断(软件中断,是一种软件调试技术),如果存在调试器,调试器会捕获这个中断并停止程序的执行,因此这个异常就不会被捕获,程序会进入 `__except` 块中,从而判断出是否存在调试器。 另外,还可以使用以下函数检测调试器: ```c++ BOOL CheckDebugger() { return IsDebuggerPresent(); } ``` 但是,这种方法容易被绕过,因为可以使用一些调试技术来隐藏调试器的存在。因此,调试技术通常需要采用多种方法组合使用,以提高调试的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值