反调试技术总结: 动态

最新推荐文章于 2023-09-07 09:58:40 发布
最新推荐文章于 2023-09-07 09:58:40 发布
阅读量467 收藏 1
点赞数 1
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/115191080
版权

静态反调试

上一篇博客


动态反调试

隐藏和保护程序代码与数据, 阻碍逆向分析. 动态反调试技术会干扰调试器, 使之无法正常跟踪查找源程序的核心代码(OEP).

异常

在SEH机制下, 如果程序发生异常OS通常会交给进程中的SEH处理, 但是被调试的进程异常被调试器接收, 所以根据这点可以判断进程是否被调试.
通常SEH会通过INT3指令系统断点触发, 如果是调试状态, 进程会因为没有得到异常处理而终止, 非调试状态则会在SEH代码执行之后恢复正常, 继续运行, 为了破解这个反调试技术, 可以在调试器中设置INT3 breaks忽略的选项, 让调试器碰到INT3中断时自觉交个SEH处理, 这样就能继续进入正常代码调试. 下图是OllyDbg的设置.
在这里插入图片描述

SetUnhandledExceptionFilter()

当异常不被SEH处理时, 还有一个API会接收异常, 就是SetUnhandledExceptionFilter(). 这个API会调用系统最后的异常处理器, 称为Last Exception Filter. 不过异常处理器只是弹出错误信息框, 终止进程运行. 但是需要注意的是SetUnhandledExceptionFilter()这个API, 而不是最后的异常处理器, kernel32!SetUnhandledExceptionFilter()中会调用ntdll!NtQueryInformationProcess(ProcessDebugPort)API (静态反调试)来判断是否处于调试状态. 如果知道是调试状态则将异常抛给调试器, 如果不是则调用最后的异常处理器.
反调试技术中会通过kernel32!SetUnhandledExceptionFilter()修改最后的异常处理器, 在最后的异常处理器中判断调试状态, 所以是结合了静态和动态两种反调试方法.

破解方法, 钩取ntdll!NtQueryInformationProcess(ProcessDebugPort)先破解静态反调试, 然后跟踪SetUnhandledExceptionFilter()注册的Exception Filter找到正常运行的地址.

Timing Check

代码调试过程是比正常运行的耗时要多得多的, 根据这点可以根据时间信息来判断是否在调试.
破解方法, 就是修改时间信息, 欺骗反调试代码. 不过Timing Check常常是和其他反调试技术并用的, 所以破解难度直线上升.
另外, Timing Check常常用作反模拟技术, 比如在模拟器中运行的程序, 速度要慢很多, 所以可以判断是否是在模拟器中运行.
技术分类

Counter based methodTime based method
RDTSCtimeGetTime()
kernel32!QueryPerformanceCounter() / ntdll!NtQueryPerformanceCounter()_ftime()
kernel32!GetTickCount()

RDTSC(Read Time Stamp Counter)
x86 CPU中有一个Time Stamp Counter时间戳计数器, 对每个时钟周期计数然后保存到TSC
RDTSC是将TSC的值读取到EDX:EAX的汇编指令

破解方法

  • 不用单步跟踪, 直接run越过检测代码
  • 修改第二次比较的EDX:EAX的值使之符合比较条件.
  • 控制jcc比较指令的flags值, 比如修改CF或ZF的值即可控制条件跳转
  • 利用内核模式驱动程序, RDTSC在内核模式下无效.
陷阱标志

TF
EFLAGS寄存器的第9个比特位
在这里插入图片描述
Trap Flag(TF)设置为1时, CPU进入单步模式, 执行一条指令后自动触发EXCEPTION_SINGLE_STEP异常, 然后TF清零.(所以是设置TF = 1, 就只在下次执行时执行一条指令, 再执行单步时需要再设置TF = 1)
利用TF来反调试, 通常结合SEH技术, 探测调试状态. 基本思想是主动将TF设置为1后继续执行会抛出EXCEPTION_SINGLE_STEP异常这一行为, 来区分调试和非调试, 如果是正常运行, 则可以执行SEH处理异常, 然后转到正常代码. 如果是调试状态, 因为调试器截获了EXCEPTION_SINGLE_STEP异常, 则不会进入SEH然后程序终止.

破解方法, 设置调试器忽略EXCEPTION_SINGLE_STEP异常, 即可绕过TF检测.
在这里插入图片描述
INT 2D
一个内核模式的断点异常指令, 也可在用户模式下触发异常, 但是有趣的是调试时会忽略这个异常, 所以可以用于反调试. 调试模式下, INT 2D之后的代码会被忽略一个字节, 从第二个字节开始重新识别为新的指令, 所以可以造成很强的混淆效果. 另一个特征是, 碰到INT 2D时单步指令会失效, 因为0xCC被忽略了, 所以不能被系统断下, 而相当于变成了run指令.

破解方法, 利用TF标志绕过INT 2D指令. 在INT 2D处下断点, 设置TF = 1, 一个很巧妙的想法, 用异常冲掉内核指令INT 2D的效果, TF == 1时, 执行INT 2D不会让CPU忽略下一个字节的指令代码, 所以INT 2D无效化了. 用异常打败异常

0xCC探测

最本质的反调试思想, 因为对于x86CPU, 所有调试都是基于把指令第一个字节设置成0xCC来中断程序运行的, 所以检测作为断点的0xCC就能判断调试状态. 注意不是单纯扫描0xCC, 因为0xCC可以是立即数, 地址, 偏移量等, 不一定就是调试器下的断点.
反调试思想, 预判破解者通常在API开始的第一个指令处下断点, 所以专门检测API的第一个字节是否是0xCC来判断调试状态.

常用API
在这里插入图片描述
在这里插入图片描述
破解方法, 预判对方的预判(这波在第三层), 在API代码中间设置断点就能绕开检测. 还有一种降维打击, 设置硬件断点, 也可以绕开0xCC检测.

比较校验和
特定代码区域的校验和, 如果下了断点某个字节改成了0xCC, 则校验和也会随之改变. 所以发现校验和不一致, 就可判断调试状态.
破解, 避开校验区域设置断点, 或者修改程序控制流强制转到正常代码运行. 不过比较校验和的反调试技术会用于多个区域, 数十上百个, 因此采用了该技术的程序破解难度大大增加.




总结

动态反调试技术重要是下面这些

  • SEH异常处理机制
  • SetUnhandledExceptionFilter()
  • Timing Check
  • 陷阱标志
  • 0xCC探测

反调试技术是逆向技术中的高级技术, 浓缩了很多低中级的逆向技术, 还另有扩展, 静态和动态反调试是实际软件保护技术的重要部分, 也是逆向技术中的精彩一环, 目前暂时了解了一点点Windows系统的反调试技术, 未来在纵向上还需要继续实践打磨, 横向上还需要继续深入学习Linux, Android, IOS等系统的反调试技术.

fa1c4
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调试技术
11-04
调试技术总结 调试技术是恶意代码用来识别是否被调试,或者让调试器失效的一种技术。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间...
「娃娃分享」-调试技术总结.
weixin_30371875的博客
05-30 223
最近学习调试技术总结了网络上的一些调试技术,文章中的代码均通过调试,在OllyDbg中测试通过,同时谢谢看雪的《加密与解密》第三版测试软件:IDA最新5.5,使用5.4OllyDbg最新2.0,结合v1.10(汉化第二版)一.抗静态分析技术静态分析是指从汇编出来的程序清单上分析程序流程,静态分析主要是指扰乱汇编代码可读性。1.花指令在原程序中添加一些汇编指令,添加后不影响原程...
逆向学习笔记(4)——动态调试技术
谈成(C/C++)
04-12 874
1.SEH异常处理 windows中存在许多的异常处理类型,如下: EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) 断点异常 EXCEPTION_SINGLE_STEP (0x80000004) 单步执行 EXCEPTION_ACCESS_VIOLATION (0x8000000
调试 - int 2dh , int 3h
墨鱼菜鸡
07-12 245
原理 第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。 如果...
调试学习
把梦想放飞在蓝色的天空里...
05-11 1327
1. INT 2D INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因
Windows软件调试学习笔记(七)—— 单步步入&单步步过
qq_41988448的博客
08-11 1959
软件调试学习笔记(七)—— 单步步入&单步步过单步步入设置单步异常处理单步异常实验1:单步异常的设置与处理单步步过实现思路实验2:实现单步步过 单步步入 描述: 单步步入的实现依赖于单步异常。 当我们需要观察每一行代码(包括函数内部的代码)执行之后寄存器与内存的变化,通常会采用单步步入。 当使用单步步入时,可采用在下一行代码的首字节设置INT 3断点的方式实现。 CPU为我们提供了一种更为方便的方法,即使用陷阱标志位(TF位)。 设置单步异常 TF位:置1 处理单步异常 单步产生的异常与硬件断
冬天OS(六):中断
Jack Zheng's Blog
11-30 315
-------------------------------------------------------- 初始化 8259A -------------------------------------------------------- 上一节我们编写了 Makefile ,享受到了 Makefile 带给我们的便利,这节我们乘着 make 的便利来设置中断... 一,in...
调试技术总结-概览图
08-24
总结常见的大部分调试技术,不包括高级技术,大牛请绕道
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
软件调试之陷阱标志
maomao171314的专栏
11-19 1495
陷阱标志 IA-32处理器支持的调试陷阱标志共有3种。 1. 8086支持的单步执行标志(EFLAGS的TF位)。 2. 386引入的任务状态陷阱标志(TSS的T标志)。 3. 奔腾Pro引入的分支到分支单步执行标志(DebugCtl寄存器种的BTF标志)。 1.单步执行标志 标志寄存器(FLAGS)的TF(Trap Flag)位。当TF为1时,CPU每执行完一条指令便会产生一个调试异常(#DB),中断到调试异常处理程序,调试器的单步执行功能大多是依靠这一机制来实现的。 调试异常的向量号是1,
OD拆解时间限制保护
weixin_46465532的博客
03-20 1508
1.OD加载Timer.exe程序 2.使用快捷键ctri+G跟随表达式SetTimer() 3.在该处下断点。 4.使用ctrl+F9,执行到返回。使用F8,来到代码调用处。 该函数参数如下: 5.针对该函数,可使用如下方法解除时间限制。 ①:跳过该函数,代码更改如下: 将其保存为exe文件。可发现已无倒计时。 ②:该函数,返回WM_TIMER消息来计时,查阅资料可知:#defineWM_TIMER0x0113,所以可在汇编内搜索字符113,找到此...
Linux调试小记(一)
博客
05-08 621
在编写Linux程序过程中,考虑到自己写的程序可能会被别人调试,因此对Linux的调试技术进行了一些研究,这里一共总结了9种方法,我将分三篇文章对这些方法进行说明。当然了,如果在这个过程中你有更好的、更加新颖的思路与方法,欢迎交换。现在开始进入正题啦。 一、忽略int3指令 我们知道,X86从它的第一代产品8086开始就提供了int 3作为它的调试指令,int 3又叫做断点指令,专门用来给调试器使用。那么如果这样的话,很容易就能够联想到,要调试,只要插入int 3来迷惑调试器即可。但是这会影响正常的
Liunux调试
小小鱼的博客
02-14 175
常见的思路: 关闭gdb使用的文件描述符3,close(3) 可以逆向分析可执行文件,通过patch可执行文件中的close函数来绕过 隐藏进程pid或者使用fork+kill不断刷新进程pid 使用ptrace调试自身,防止被gdb等使用ptrace系统调用的调试器的调试 可以逆向分析可执行文件,patch可执行文件中的ptrace操作来绕过 去除对程序运行无影响的段,用readelf无法分析可执行文件,gdb也就无法获取调试需要的文件相关信息 ...
SEH异常处理机制
谈成(C/C++)
04-12 1805
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
最近很火的调试,你知道它是什么吗?
最新发布
chuyouyinghe的专栏
09-07 190
我们日常开发中,永远离不开debug调试,断点技术一直是我们排查bug的有力手段之一!随着网络安全意识的逐步提高,对app安全的要求就越来越高,(有朋友不太了解这个概念,这里我解释一下,就是通过调试技术,比如我们可以编译某个apk,即使apk是release包,同样也可以进行编译后调试,比如最新版本的jadx)的技术也渐渐深入我们开发者的眼帘,那么我们来具体看看,android中,同时也是linux内核中,是怎么处理调试程序的!
调试 - SetUnhandledExceptionFilter
LYSM
07-12 5221
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1452
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
调试技术详解:检测与规避策略
"这篇资源是关于调试技术总结,主要介绍了恶意代码如何使用调试手段来避免被调试器分析,以及如何检测Windows调试器。文章涵盖了多种调试技术,包括利用Windows API函数如IsDebuggerPresent、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值