anti-debug1——侦测

最新推荐文章于 2024-06-26 09:45:47 发布
最新推荐文章于 2024-06-26 09:45:47 发布
阅读量429 收藏
点赞数
分类专栏: 复读机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/86603668
版权

BeingDebugged标记

最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2

IsDebuggerPresent(void)

{

return NtCurrentPeb()->BeingDebugged;

}

要找到BeingDebugged在当前进程的地址,就得先找到PEB的地址,PEB的地址是无法直接获取到的,我们可以通过TEB(线程环境块)来找到PEB。Windows在调入进程、创建线程时,操作系统会为每个线程分配TEB,且fs段寄存器总是被设置为使得地址fs:[0]指向当前线程的TEB数据。

在TEB结构偏移0x30处就是PEB的地址了。而偏移0x18处则指向了TEB本身。

加密与解密中提供了从外部代码去除某进程BeingDebugged标志的方式,可以作为调试器的插件去除这种反调试方法。但BeingDebugged标记在生成时还留下了一些后患。

 

LdrpInitialize函数是一个新进程的初始线程开始在用户态执行的最早代码,在这个函数内部有一段这样的代码:

if (Peb->BeingDebugged) {

Peb->NtGlobalFlag |= FLG_HEAP_ENABLE_FREE_CHECK |

FLG_HEAP_ENABLE_TAIL_CHECK |

FLG_HEAP_VALIDATE_PARAMETERS;

这说明BeingDebugged被设置为1后,NtGlobalFlag也被设置了一个标记,通过调试可发现这个标记为0x70。

 

那么NtGlobalFlag有没有向BeingDebugged一样留下痕迹呢?是有的,在初始化堆的函数RtlCreateHeap中可以找到相应代码。

if (NtGlobalFlag & FLG_HEAP_VALIDATE_PARAMETERS) {

Flags |= HEAP_VALIDATE_PARAMETERS_ENABLED;

}

...

if (DEBUG_HEAP(Flags)) {

return RtlDebugCreateHeap(Flags, ···);

}

 

DEBUG_HEAP是一个宏,总之在这里会返回1,然后进入RtlDebugCreateHeap函数。RtlDebugCreateHeap内部实际上又调用了RtlCreateHeap,不过这次Flags参数又多了几个属性,分别是HEAP_SKIP_VALIDATION_CHEC

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1808
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
windows内核情景分析---进程线程1
mmmsss987的博客
06-23 608
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 一、进程的启动过程: BOOLCreateProcess ( LPCTSTRlpApplicationName,// LPTSTRlpCommandLine,//commandlinestring LPSECURITY_ATTRI...
探索高效安全的程序调试防御——anti-debug
最新发布
gitblog_00032的博客
06-26 295
探索高效安全的程序调试防御——anti-debug 项目地址:https://gitcode.com/alphaSeclab/anti-debug 1、项目介绍 在软件开发中,防止未经授权的调试是一个重要的安全性需求。anti-debug 是一个开源项目,专为对抗恶意或非法的程序调试设计。它提供了一套跨平台的API和库,可以帮助开发者构建自我保护的应用,有效检测并阻止外部调试器的挂接,保护代码的安...
winlogon源码分析
chenyujing1234的专栏
09-29 5406
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!    一、从WinMain开始分析 (1)  获得系统debug信息 NtQuerySystemInformation用于返回指定的系统信息。 NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_IN
iOS Anti-Debug
weixin_33786077的博客
08-24 197
iOS Anti-Debug 1 iOS Anti-Debug前言 移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟,Android平台下的反调试...
Anti-Debug 小试牛刀
狼族小子的专栏
12-04 3331
Anti-Debug 小试牛刀  本文整理了日常生活中遇到的一些Anti-Debug技术,除非特殊说明,均适用于Mac/iOS开发 作为第一篇正式博文,会不定期更新,谢谢大家. 禁止附加或调试-ptrace中断检测-int3检测lldb更多 禁止附加或调试-ptrace PT_DENY_ATTACH1 is an Apple-specific constant
探秘 `anti-debug`:一种强大的反调试工具
gitblog_00041的博客
04-02 374
探秘 anti-debug:一种强大的反调试工具 项目地址:https://gitcode.com/gnaixx/anti-debug 在软件安全和逆向工程领域,对抗调试是一项关键的技术。anti-debug 是一个开源项目,旨在帮助开发者和安全研究人员构建具有反调试特性的应用程序。通过深入理解这个项目,我们可以更好地保护自己的代码免受恶意分析。 项目简介 该项目由 gnaixx 开发并维护,提...
Anti Debug:实战讲解
YJJYXM的博客
09-10 587
安卓逆向交流学习:342647370 vx:yijin1108an Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。 一.IDA里面静态分析so文件 1.将文件拖入jdax-gui中,进行静态分析,会发现OnCreate里面没多少内容,并且上面加载了so库,如下图所示。 2.将SO文件拖入,找到JNI_OnLoad,如下图所示。 3.按F5查看伪代码,如下图所示。 4.除了动态注册这个参数外,还有两个参数的传递,其中一个是简单的if判断,它使用的是或运算符,只要其中有一个成立
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
本科毕业设计:蓝牙防丢器Bluetooth anti-lost App ——可自行设定报警dBm&报警距离.zip
01-03
【本科毕业设计:蓝牙防丢器Bluetooth anti-lost App ——可自行设定报警dBm&报警距离】 本科毕业设计是一项重要的学习任务,旨在让学生将所学理论知识与实践相结合,解决实际问题。在这个项目中,我们关注的是...
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
09-14
【标题】"anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug" 提供的信息表明,这个压缩包包含的是与Delphi编程语言相关的反调试技术。"SoftICE"是一款著名的系统级调试器,常被黑客和逆向工程师用于分析程序...
精品--本科毕业设计:蓝牙防丢器Bluetooth anti-lost App ——可自行设定报警dBm&报警距离.zip
02-05
【标题】:“精品--本科毕业设计:蓝牙防丢器Bluetooth anti-lost App ——可自行设定报警dBm&报警距离” 这个本科毕业设计项目聚焦于开发一个基于蓝牙技术的防丢器应用,允许用户自定义警报触发的dBm(分贝毫瓦)...
Anti Debug
08-23 412
一 、对抗动态调试1 ring3的OD,  当OD调试一程序时,被调试的程序是被调试器当做自己的一个子线程来进行跟踪。  这时,被调试的程序所对应的进程环境块(Process Environment Block)结构的偏移2H处BeginDebugged标志的值是1,如果没有被调试器加载调试,则其值为0。反调试代码:BOOL BeDbg(){BOOL bRet = FALSE;__asm{mov
anti-debug0——结构
40KO的博客
01-23 211
注:这里的反调试技术主要针对Windows平台 TEB TEB指线程环境块,它是一个结构体,包含进程中运行线程的各种信息,每个线程中都有一个对应的TEB结构体。由于这个结构体实在太复杂,这里只说几个跟调试有关的部分。 +0x30 ProcessEnvironmentBlock 它是指向PEB结构体的指针,PEB是进程控制块,每个进程都有一个对应的PEB +0x00 Nt...
基于HOOK的Anti-debug调用点trace和Anti-anti
zhangmiaoping23的专栏
04-17 1820
转:http://bbs.pediy.com/showthread.php?p=1365668#post1365668 发一个之前写的辅助调试SO的小东西,限于水平难免会有错误之处,请各位大大批评斧正,小弟感激不尽。 同时,也欢迎各位大大讨论下反调试的技术和Anti方法,让也小弟学学 ----------------------------------------------
反调试(Anti-debug
winner82的专栏
10-05 4669
<!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } --> 盗版也反盗版一直是共存的矛盾体,也是在数字版权领域争论不休的一块领域。破解与反破解,侦测与反侦测也正是基于此而生生不息,欣欣向荣。鉴于此,安全软件是作为守方的我们所锲而不舍的目标。抛却
Arbor Networks的Anti-DDoS解决方案概览
"Arbor Anti-DDos Jan 2010v1.pdf" Arbor Networks Inc. 是一家专注于网络安全领域的公司,成立于2000年,以其在分布式拒绝服务(DDoS)防护解决方案方面的能力而知名。自成立以来,Arbor经历了强劲的经济增长,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值