PEB检测

最新推荐文章于 2024-04-29 09:26:43 发布
最新推荐文章于 2024-04-29 09:26:43 发布
阅读量80 收藏
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29346437/article/details/129994343
版权

PEB检测

第二字段BeingDebugged,记录调试信息,1代表被调试,0代表没有被调试

//PEB结构
typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged; //被调试状态
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  BYTE                          Reserved4[104];
  PVOID                         Reserved5[52];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved6[128];
  PVOID                         Reserved7[1];
  ULONG                         SessionId;
} PEB, *PPEB;

PEB结构在TEB结构的0x30偏移的地方,也就是fs:[0x30]处可以取到PEB的基地址

bool CheckDebug() {
	bool bDebugged = false;
	__asm {
		MOV EAX, DWORD PTR FS : [0x30]
		MOV AL, BYTE PTR DS : [EAX + 2]
		MOV bDebugged, AL
	}
	return bDebugged;
}

当进程被调试时,AL的值为1,这个值取自PEB的BeingDebugged成员

PEB:Process Envirorment Block Structure

进程环境信息块,这里包含了一些进程的信息

TEB:Thread Environment Block

指线程环境块,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应着一个TEB结构体
TEB

FS段寄存器

其实,FS段寄存器用来只是当前线程的TEB结构体。
IA-32系统中进程的虚拟内存大小为4GB,因而需要32位的指针才能访问整个内存空间,但是FS寄存器的大小只有16位,那么它如何表示进程内存空间的TEB结构体的地址呢?实际上,FS寄存器并非直接指向TEB结构体的地址,它持有SDT 的索引,而该索引持有实际TEB地址。

提示:
SDT位于内核区域,其地址存储在特殊的寄存器GDTR(Global Descriptior Table Register,全局描述符表寄存器)中。

world under Control
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言-置入汇编实现检测是否调试
06-25
IsDebuggerPresent ()一般用来检测程序是否出于调试状态,返回值逻辑型 纯汇编调用此API,好处是程序导入表查看不到此API 不过终究还是调用了API,bp 断点可以正常断下, 而且一般OD 反调试插件已经和谐此函数,所以: 此源码仅用于学习研究,请勿用于发布版程序! 此源码仅用于学习研究,请勿用于发布版程序! 不要被一些网络验证的宣传欺骗了,"买了送你纯汇编的XX之盾!" 一看全是汇编代码,"WOC,牛逼!",以为真的就是纯汇编不调用任何api函数 其实有的置入代码也同样调用了API函数, bp可以正常断下,反调试插件同样可以和谐掉 程序最终的发布版肯定要加VMP,既然最后要加VMP, 个人感觉置入代码对防破的意义不大 防破还是主要靠代码混淆 暗桩和通信加密 回归正题,此代码执行过程 ========== 1 遍历PEB表,获取IsDebuggerPresent函数地址 2 调用IsDebuggerPresent 2 判断返回值是否为真,如果是真,程序自动崩溃 如果是假,继续向下执行
windows 反调试相关/peb 结构体
pureman_mega的博客
06-06 122
【代码】windows 反调试相关。
PEB TEB结构体使用
左手
08-02 4736
PEB TEB结构体属于windows平台进程的一个重要数据结构,使用windbg查看结构体信息及相关结构体成员信息的利用
根据PEB判断是否被调试
做一个快乐学习者
05-29 507
PEB偏移0x2地方的BeginDebugged标志着当前程序是否被调试 #include <Windows.h> bool CheckDebug() { bool bDebug = false; _asm { push eax //在eax上操作就要先保存好eax的值 mov eax,dword ptr fs:[0x30] //获取PEB mov a...
C++检测自己是否被调试
lovehuanhuan1314的专栏
05-11 3088
检测自己是否被调试主要有调用API和获取PEB标志 PEB标志主要检测BeingDebugged 和NtGlobalFlag ,当然检测一个就行了,一般来说如果一个被调试器的反检测调试功能修改那另外的一般也跑不了,对于x86 PEB读取 fs[0x30]即可,对于x64读取gs[0x60]即可,BeingDebugged的偏移为固定的0x002,NtGlobalFlag因为两者结构不一样所以偏移也不一样x86:0x68 x64:0xbc。NtGlobalFlag如果被调试其值为0x70。 而API有.
利用PEB结构体实现反调试
hanseys的专栏
07-21 1307
PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,我们首先看看PEB结构体: typedef struct _PEB {               // Size: 0x1D8     000h    UCHAR           InheritedAddressSpace;     001h    UCHAR
反调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1503
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
置入汇编实现检测是否调试
06-02
IsDebuggerPresent ()一般用来检测程序是否出于调试状态,返回值逻辑型。纯汇编调用此API,好处是程序导入表查看不到此API。不过终究还是调用了API,bp 断点可以正常断下,。而且一般OD 反调试插件已经和谐此函数,所以...
置入汇编实现检测是否调试-易语言
06-11
IsDebuggerPresent ()一般用来检测程序是否出于调试状态,返回值逻辑型 纯汇编调用此API,好处是程序导入表查看不到此API 不过终究还是调用了API,bp 断点可以正常断下, 而且一般OD 反调试插件已经和谐此函数,所以: ...
OD插件-SharpOD-x64-v0.6c-beta
03-16
SharpOD_x64_v0.6c_beta 0.6c版本好不容易搜到了,分享下。 里面有ollydbg版本的插件和x64dbg版本的插件。另外,插件只能在64位系统生效。...8.修复x64dbg标题被检测问题 (Themida 3.x & Winlicense 3.x)
C++ | Python 八股文(备战秋招)】—— 日积月累
BigDavid123的博客
04-27 264
C++、Python常见八股文
C语言案例——输出 Fibonacci 数列(斐波那契数列)的前 40 项
悟道子HD
04-25 453
输出 Fibonacci 数列(斐波那契数列)的前 40 项 #include void main() { int a[40]= {1,1}; int i; printf( "%12d%12d",a[0],a[1]); for(i=2; i
C++的抽象类
hh121386的博客
04-23 221
C++的抽象类
Python和C++数学物理计算分形热力学静电学和波动方程
跨学科知识视角展现
04-26 686
数学逻辑和代码计算或可视化::pen:向下递归确定球面贝塞尔函数 | :pen:蒙特卡罗法模拟随机游走和放射性粒子衰减 | :pen:梯形规则积分算法 | :pen:高斯求积算法 | :pen:冯诺依曼拒绝(方法)生成加权随机分布 | :pen:牛顿-拉夫森搜索逐步搜索弦上两个质量矩阵问题解 | :pen:二分算法求解 | :pen:牛顿-拉夫森方法 | :pen:横截面的样条拟合 | :pen:最小二乘法拟合数据和抛物线 | :pen:四阶龙格库塔法常微分方程求解器 | :pen:亚当斯-巴什福斯-莫尔顿
手搓顺序表(C语言)
m0_62646213的博客
04-23 599
顺序表头插头删,尾插尾删,任意位置插入删除的实现和优劣分析
代码随想录算法训练营DAY32|C++贪心算法Part.2|122.买卖股票的最佳时机II、55.跳跃游戏、45.跳跃游戏II
糖炒栗子
04-23 966
从上文可以看出,我们要比较当前范围下能扩充的最终范围。
04.17_111期_C++_继承&多态_虚表
最新发布
weixin_46366676的博客
04-29 302
2.1 父类和子类都有func,且返回值,且参数类型相同,且父类的func用virtual修饰。1.1 由于 p 是一个 B类型的指针,所以 会在 B 类型寻找一个名叫test()的成员函数。也就是 (根据2.) 使用 A func的声明,(根据3.) 使用 B func的定义。这就是多态调用的特点,需要按照3. 先找到σ的类型,把这个类型的func找到后。2. A类的test()要调用 func(),那么需要问,构不构成多态调用?注意:和什么类型的指针没有关系,只取决于被指向的数据类型,
华为OD机试真题-田忌赛马-2024年OD统一考试(C卷D卷)
面试高手的博客
04-23 305
给定两个只包含数字的数组a,b,调整数组 a 里面数字的顺序,使得尽可能多的 a[i] >b[i]。这个问题的核心是找到数组 a 的排列,使得在与数组 b对比时 a[i] > b[i] 的情况尽可能多。输入的第一行是数组 a 的数字,其只包含数字,每两个数字之间相隔一个空格,a 数组大小不超过 10。说明:有两个 a 数组的排列可以达到最优结果 [12,20,11]和11,20,12] ,故输出 2。输入的第二行是数组 b 的数字,其只包含数字,每两个数字之间相隔一个空格,b数组大小不超过 10。
C++实战演练---负载均衡在线oj项目预热
顾得泉的博客
04-23 1117
该项目是基于负载均衡的在线OJ平台,用户可以在浏览器访问各个题目,在编辑区编写代码提交,后端能够自动分配服务器资源,保持平衡的情况下为用户提供良好的编程运行环境,让代码快速运行和提交。
windows peb
08-08
PEB (Process Environment Block) 是 Windows 操作系统的一个数据结构,用于存储进程的运行环境信息。它包含了许多与进程相关的细节,如进程的全局变量、进程堆栈的基地址、命令行参数、环境变量等。 PEB 可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值