高级反调试技术总结

最新推荐文章于 2023-06-21 14:51:46 发布
最新推荐文章于 2023-06-21 14:51:46 发布
阅读量464 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/115213114
版权

高级反调试

真正用于实际的软件保护的反调试技术, 对于破解有着高难度的挑战. 现在总结一下高级反调试技术.
对于应用了大量垃圾代码, 条件分支语句, 循环语句, 加密/解密代码, 以及调用书(Call-tree), 要逆向这样的程序都是一种肉体和精神的双重受苦之旅, 再加上动态反调试的干扰, 甚至可以直接将军想要破解这个软件的逆向分析者. 对于经验丰富的玩家来说, 要完美分析一个保护器也是极其艰巨的挑战. (水了一些废话

所以来看看这些让人受苦的天灾级武器(bushi

垃圾代码

基本思想很朴素, 就是向代码中添加大量不会影响程序效果的垃圾代码, 冲散原程序结构, 达到混淆的目的. 更变态的是在垃圾代码中夹杂实际有用的代码和反调试代码, 可以让调试变得极端困难.

扰乱代码对齐

有意添加一些字节代码, 但是实际程序中不会用到, 却可以打乱反汇编器的结果, 让机器码不能正常识别为汇编指令, 达到扰乱目的. 如果没有完全掌握代码, 就直接调试, 很可能遭到其他反调试技术的拦截. 所以扰乱代码对齐(Break Code Alignment)是很令人苦恼的一种反调试技术.

垃圾代码结合扰乱代码对齐可以产生混乱代码, 可以进一步增加代码分析难度.

加密/解密

压缩器和保护器常用技术, 用来隐藏代码和数据. 代码和数据只有在运行过程中才被解码出来, 能够正常运行. 当然如果只是单纯加密/解密, 转储即可拿到解密之后的代码数据, 但是应用了反转储技术, 再解密之后, 一段代码运行完毕会再次被加密, 这样转储出来的二进制文件依然处于加密状态.

同样加密/解密也能和垃圾代码, 扰乱代码对齐打出Combo, 再增加分析难度.

另外还有一种特殊技法, 代码重组, 采用实时组合代码执行的技术, 指令是在运行过程中动态生成的. 而且在调试时下软断点, 会出现运行时错误, 因为修改了一个字节以后动态生成的指令往往是错误的.
在这里插入图片描述在这里插入图片描述

Stolen Bytes(Remove OEP)

将部分OEP代码转移到压缩器/保护器创建的内存区域运行. 可以让转储进程的结果OEP代码是缺失的, 使得转储的文件不能运行. 另外应用Stolen Bytes之后的文件再用压缩器/保护器进行加密, 会大大增加分析难度, 单纯脱壳也得不到OEP代码, 会造成很大的混乱效果.

API重定向

逆向分析者通常采用API出下断点, 断到API之后查看栈的返回地址, 就知道哪个函数调用了这个API, 逆向回去找到这个函数, 能很高效地理清程序流程, 找到关键函数.
API重定向反调试技术, 就是防御这种分析思路的技术, 先将所有(或者用到的部分)API复制到另一个内存区域, 然后将源代码的API调用地址重定向到复制出来的副本API地址处, 这样调试者在原API地址处下断点也无济于事, 因为程序不走原API地址执行. 同时支持反转储功能.

(不仅如此, 还可以联合使用垃圾代码, 扰乱代码对齐, 加密/解密等技术, 上个5-6重保护.


多态代码

比如ASProtect的混淆代码生成器, 每次都能生成不同垃圾代码. 而具有相同运行结果但形态不一的代码就称为多态代码.

Debug Blocker(Self Debugging)

基本思想是用调试模式运行自身程序, 这样别的调试器就无法调试正在被调试的进程. Debug Blocker技术使自我创建技术的演进版本, 自我创建技术中, 父进程负责创建子进程, 但是由子进程负责运行实际代码, 所以调试器如果调试父进程则得不到OEP, 但是如果调试子进程就能找到OEP代码.
Debug Blocker技术就是弥补了这一缺点, 即使是子进程也无法调试. 对比SEH机制的反调试和Debug Blocker反调试.
在这里插入图片描述
SEH反调试是在同一内存空间处理异常, 但是Debug Blocker是在调试进程的内存空间处理被调试进程的异常, 所以其他调试器不能附加目标进程, 要附加目标进程就先得断开与父进程的联系, 但是断开之后子进程也不能继续运行, 这就是Debug Blocker的精(bian)妙(tai)之处.

另外有进阶版本的Debug Blocker, Nanomite技术, 将被调试进程的所有条件跳转指令修改为INT3(软件断点0xCC), 或者触发异常的指令, 然后会转移到调试者(父进程)执行, 调试进程里有条件跳转指令的表格, 记录所有跳转地址, 取出需要的地址再传给被调试进程, 然后继续指令执行. 所以要调试Nanomite保护的程序, 要恢复出源程序, 就得编程自动化实现, 是极有挑战性的问题.




总结

反调试技术是不断发展的, 同样破解得技术也是不断发展的, 作为逆向分析的高难度问题, 保护器的调试是一个不错的挑战, 同时应用了多种高级反调试技术的保护器, 是对逆向分析技术的真正考验, 当积累了足够的经验, 有必要挑战一下保护器的逆向分析, 可以更进一步提高逆向分析水平.

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1165
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
调试反反调试学习·1(挖坑)
黑夜黎明
06-19 1778
文章目录个人理解静态调试PEBTEB原始API攻击调试器打开进程检查TLS回调函数使用普通API动态调试使用SEH时间检查单步检查补丁检查反反汇编偷取代码分页保护壳虚拟机 个人理解   2019.6.19 在汇编面前没有任何程序有秘密(opcode层面做的技巧改动没接触到),调试是打开程序内部乃至程序一切的一把钥匙,调试就是让钥匙失效的一种手段。调试根据破坏调试过程的时间不同整体分为静态...
调试技术总结(看雪)
eli的博客
12-07 2709
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试技术
最新发布
nareku的博客
06-21 793
思来想去还是先写反反调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
《逆向工程核心原理》学习笔记(七):调试技术
闵行小鱼塘
05-28 2002
继续学习《逆向工程核心原理》,本篇笔记是第七部分:调试技术,包括一些静态调试技术和动态调试技术
调试技术总结-概览图
08-24
总结常见的大部分调试技术,不包括高级技术,大牛请绕道
记录一种简单的调试手段(调试随手笔记)1
08-03
在计算机程序开发和逆向工程中,调试技术是一种常见的策略,用于防止或阻碍他人对程序进行调试。本篇笔记将介绍一种简单的调试手段,通过自校验来检测代码是否被设置了软件断点。 【描述】: 该调试方法主要...
Android_Anti_Debug,android调试的一个例子。.zip
09-25
2. 调试调试技术则是应用程序采取的一种自我保护机制,用来检测并可能阻止调试器的运行,防止恶意攻击者利用调试器分析和篡改应用逻辑。 二、Android_Anti_Debug项目详解 1. 检测调试器:项目主要通过检查...
易语言调试器脱离源码-易语言
06-13
总结,易语言调试器脱离源码的使用,虽然增加了调试的复杂性,但同时也锻炼了开发者在逆向工程和动态分析方面的技能。通过深入理解调试器的工作原理和实践技巧,开发者可以更高效地调试和优化易语言程序,从而提升...
专业技术总结大全范文.pdf
09-26
这篇专业技术总结范文主要围绕电能计量工作展开,作者是一位在电力行业从事电能表修校高级工的专业人士。电能计量工作在电力系统的各个环节中起着至关重要的作用,关乎安全和经济利益。以下是对这份总结的主要知识点...
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 685
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
逆向学习笔记(5)——高级调试技术
谈成(C/C++)
04-12 294
1.垃圾代码 向程序添加大量无意义的代码来增加代码调试的难度,这就是“垃圾代码”调试技术。尤其是,这些垃圾代码中还含有真正有用的代码或者应用其他调试技术时,调试程序会变得更加困难。 1)一些指令(PUSH/POP、XCHEG、MOV)拥有相同的操作数,最终执行的是一些无意义的运算。(命令执行后没有什么变化) 2)将一些简单的指令复杂化实现,增加分析难度。 2.扰乱代码对齐(花指令) 通过巧妙的编写汇编代码,实现干扰调试汇编的结果,让汇编看上去一团乱。 在正常的汇编中插入多余的call、
简单脱壳笔记
王二娃的生活的博客
10-06 531
这里对各类壳按照壳的特征分类说明:一、ACProtect1、ACProtect V2.0–VB6.0 脱壳前特征: VB入口特征: 可以依靠此特征来找到OEP,若发生stolen bytes ,也可以手动修补 脱壳流程简介: AC会把正常解密流程放到SEH中,故利用最后一次异常法找到关键跳转,设置跳转条件让它直接跳到OEP 1) 2)关键跳转处设置条件断点,这里是代码段内
一种基于TLS的高级调试技术
胸怀世界,一点一滴的编程可以改变世界,实现梦想。
06-08 2878
盗版行为日益猖獗,严重影响到软件开发者和开发商的知识产权及利益,盗版技术的重要性也越来越引起人们的重视。在盗版技术中,起最大作用的当属调试技术。然而传统的调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取调试手段。实际上在调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更严重,在执
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 339
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
关于重定向的API
leslietuang的专栏
12-03 2027
#include #include #include int main(void) { int fd, outBak; // const char *str1 = "write in dup2TestFile\n"; // const char *str2 = "write in tty\n"; const char *str3 = "pr
Windows下调试技术汇总
03-03 1730
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
常见动态调试技术总结
lonmar的博客
06-27 2210
软件安全|调试技术|动态调试技术总结
Windows调试技术参考
子曰小玖的博客
01-08 1272
http://blog.chinaunix.net/uid-29068508-id-3845270.html 本文主要面向逆向工程师和恶意程序分析人员,分类并列举了一些基于Windows操作系统的调试技术调试技术给程序提供了检测自身是否运行在调试器下的方法,所以经常被商业性质的可执行文件保护器、加壳程序,甚至恶意程序用来保护或者减缓逆向工程的过程。在本文中,我们假设所有的程序都是在Rin...
调试技术详解:检测与规避策略
"这篇资源是关于调试技术总结,主要介绍了恶意代码如何使用调试手段来避免被调试器分析,以及如何检测Windows调试器。文章涵盖了多种调试技术,包括利用Windows API函数如IsDebuggerPresent、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值