Anti_dbg -- Fuzz

最新推荐文章于 2024-05-18 10:00:40 发布
最新推荐文章于 2024-05-18 10:00:40 发布
阅读量203 收藏
点赞数
分类专栏: Higher Reverse 文章标签: fuzz
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35740100/article/details/119747667
版权

参考 liveoverflow Parser Differential fuzz思路
链接

目标程序

源码

在这里插入图片描述

测试

在这里插入图片描述

复制target fuzz

在这里插入图片描述

保存输出

normal_execute

在这里插入图片描述

gdb_debug

在这里插入图片描述
在这里插入图片描述

radare_debug

在这里插入图片描述
在这里插入图片描述

编写fuzz脚本

思路

我们试图根据不同的PE文件parser解析器的差异 产生不同输出, 目的找到一个pe文件可以被linux PE加载器正常执行,但是在gdb 以及 radare里解析失败 从而实现反调试目的 Parser Differential

  • 随机更改pe文件的某一处字节
  • 检查是否 正常执行及gdb,radare里输出结果存在差异
  • 如若可以在正常执行结果一致,而gdb和radare产生错误 fuzz成功

fuzz.py

import random
import os

def flip_byte(buff):
    pos = random.randint(0,len(buff))
    li = []
    li.append(random.randint(0,0xff))
    return buff[:pos] + bytes(li) + buff[pos+1:]

def copy_binary():
    os.system('cp mylogin mylogin_fuzz')
    with open('mylogin','rb') as orig_f, open('mylogin_fuzz','wb') as new_f:
       new_f.write(flip_byte(orig_f.read()))

def compare(fn1,fn2):
    with open(fn1) as f1, open(fn2) as f2:
        return f1.read() == f2.read()

def compare_radare(fn1,fn2):
    with open(fn1,'r') as f1, open(fn2,'r') as f2:
        return f1.readlines()[1:] == f2.readlines()[1:]

def check_output():
    os.system('(./mylogin_fuzz ; ./mylogin_fuzz correct_passwd) > fuzz_output')
    return compare('orig_output','fuzz_output')

def check_gdb():
    os.system('echo disassemble main | gdb mylogin_fuzz > fuzz_gdb')
    return compare('orig_gdb','fuzz_gdb')

def check_radare():
    os.system('echo "aaa\ns sym.main\npdf\nq" | radare2 mylogin_fuzz > fuzz_radare')
    return compare_radare('orig_radare','fuzz_radare')

while True:
    copy_binary()
    if check_output() and not check_gdb() and not check_radare():
        print('Found Possible sample\n\n\n')
        os.system('tail fuzz_gdb')
        os.system('tail fuzz_radare')
        input()

执行

find possible sample

在这里插入图片描述

验证

normal_execute

  • mylogin
    在这里插入图片描述

  • mylogin_fuzz
    在这里插入图片描述

可以看到 fuzz后的样本可以正常地被linux执行 结果没有差异 符合预期

gdb

  • mylogin
    在这里插入图片描述

  • mylogin_fuzz
    在这里插入图片描述

可以看到 fuzz后的样本成功阻止了gdb调试 符合预期

radare

  • mylogin
    在这里插入图片描述

  • mylogin_fuzz
    在这里插入图片描述
    可以看到 fuzz后的程序 radare已经无法识别main函数 符合预期

Binary compare

在这里插入图片描述
可以清楚看到 仅仅更改一个字节 就做到了anti_gdb ant_radare的作用

总结

fuzz过程踩坑

  • python 内 os.system() 执行echo 默认附带 -e 参数,如果添加-e 会出错
  • 由于python3 bytes类型和str分离 需要int转bytes 我使用单元素列表作为构造
  • radare 新版本会在启动时随机产生一句玩梗的话(歪果仁玩的梗 Get不到hhh) 这样就会影响输出 所以单独compare radare 从第一句之后比较

思考

  • 万物皆可fuzz(雾
  • 以往特征码免杀 分块逐步定位 手动修改, 是不是可以用fuzz 智能化?
  • fuzz结果不唯一 实际上很多可行解 怎样添加约束 使得结果更加安全?
  • 不同的逆向工具 parser 存在差异 针对parser 主动攻击效果不错, 联想到OD的PE解析器 加载时没有对错误的一个字段做处理 导致 pe头更改该字段时 会导致OD载入失败(已被strong OD修复)
AlwaysBetter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Anti Debug:实战讲解
YJJYXM的博客
09-10 576
安卓逆向交流学习:342647370 vx:yijin1108an Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。 一.IDA里面静态分析so文件 1.将文件拖入jdax-gui中,进行静态分析,会发现OnCreate里面没多少内容,并且上面加载了so库,如下图所示。 2.将SO文件拖入,找到JNI_OnLoad,如下图所示。 3.按F5查看伪代码,如下图所示。 4.除了动态注册这个参数外,还有两个参数的传递,其中一个是简单的if判断,它使用的是或运算符,只要其中有一个成立
反调试总结
Cosmopolitan的博客
10-10 367
// AntiDbg.cpp : 定义控制台应用程序的入口点。 // //#include "stdafx.h" #include <iostream> #include <Windows.h> using namespace std; enum PROCESSINFOCLASS// { ProcessBasicInformation = 0, Process...
推荐开源项目:AntiDBG — 深入反调试的智慧宝库
最新发布
gitblog_00077的博客
05-18 403
推荐开源项目:AntiDBG — 深入反调试的智慧宝库 项目地址:https://gitcode.com/HackOvert/AntiDBG 1、项目介绍 在软件安全领域,对抗恶意调试器是一项至关重要的任务。这就是AntiDBG的作用所在——一个汇集了多种Windows平台反调试技术的开源库。该项目分为多个类别,包括基于内存、CPU、时间、强制异常和其他方法的检测技巧,旨在帮助开发者保护他们的应用...
Anti-DbgV2.zip
09-23
DdgSsReserve句柄清零 PLIST_ENTRY GetPsActiveProcessHeadAddr() { PLIST_ENTRY PsActiveProcessHeadAddr = NULL; NTSTATUS status; PEPROCESS eProc = NULL; status = PsLookupProcessByProcessId((HANDLE)4, &eProc); if (!NT_SUCCESS(status)) return NULL; #ifdef WIN32_XP PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0x88))->Blink; #elif WIN32_7 PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0xb8))->Blink; #endif //PsActiveProcessHeadAddr = eProc->ActiveProcessLinks->Blink; ObDereferenceObject(eProc); return PsActiveProcessHeadAddr; }
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2097
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁
量产测试工具_DBG-02V3.4.151010(Beta).zip
11-28
《触摸屏量产测试工具(DBG-02V3.4.151010 Beta)详解》 在信息技术日新月异的今天,触摸屏已经成为人机交互的重要接口,广泛应用于智能手机、平板电脑、智能家电等领域。对于触摸屏制造商而言,确保产品的质量和性能...
x64dbg-2018-02-24_13-52-中文版+源码
03-01
《深入探索x64dbg:2018年2月中文版及源码解析》 x64dbg是一款强大的反汇编调试工具,其地位在业内可与经典的ollydbg相媲美。它专为现代的64位和32位Windows系统设计,提供了一系列高级调试功能,帮助开发者和安全...
TCP_UDP_Dbg-tcp测试软件.rar
07-12
在TCP_UDP_Dbg-tcp测试软件中,可能包含了以下功能: 1. 数据包捕获:能够捕获并显示TCP和UDP的数据包,包括源地址、目的地址、端口号、序列号、确认号等关键信息。 2. 数据包发送与接收:用户可以自定义发送TCP或...
uart.rar_UART -DBG
09-24
在这个"uart.rar_UART -DBG"的压缩包文件中,我们可以推测其内容可能包含了关于UART通信协议的详细讲解,以及一个名为“异步串口UART实验”的项目或教程。 UART的工作原理: 1. 异步通信:UART采用非同步方式传输...
x64_dbg-v18.7z
07-02
x64_dbg-v18.7z这个压缩包文件,从其命名我们可以推断,它包含了x64_dbg的一个特定版本,即v18。x64_dbg是一款强大的、免费的、开源的十六进制调试器,主要用于64位Windows系统的软件调试。它提供了丰富的功能,包括...
统计学基础Statistics for the Behavioral Sciences 之 Sample Variance as an Unbiased Statistic
moonlightpeng的博客
12-25 724
笔记源于书《Statistics for the Behavioral Sciences 10e》   ■ Biased and Unbiased Statistics Earlier we noted that sample variability tends to underestimate the variability in the corresponding population. ...
论文阅读笔记20230204
qianfei11_T的博客
02-04 181
计算机安全领域里一个常用的防御手段是提高攻击者的成本(包括资源成本和时间成本)。在二进制安全中,通常采用混淆(Obfuscation)的方式来避免被逆向工程以及漏洞挖掘。而Fuzzing技术的快速发展,使得这样的方法无法有效地阻止漏洞挖掘。
use gdb to look at fuzz
weixin_38168786的博客
09-28 126
1. 问题背景:   在fuzz的时候,我们经常会感到很被动,似乎只能静静地等待崩溃的出现,或者不出现:(   其实这个过程中我们可以进入程序内部观测fuzz的实际效果,如果发现效果不佳可以着手调节策略。   怎么在没有崩溃的时候观察fuzz的效果呢?覆盖率似乎看不到实际的打击效果(是否饱和打击?)   这两天用简单的IDA和gdb脚本实现了一个初步的demo,能够实现以下功能:...
fuzzification》论文阅读
qq_40398985的博客
12-17 806
FUZZIFICATION: Anti-Fuzzing Techniques》论文阅读 记录时间:2019.11.22,仅供帮助快速阅读与回忆使用,如有翻译或逻辑错误以原github为准。 论文链接:https://www.usenix.org/system/files/sec19fall_jung_prepub.pdf github链接: https://github.com/sslab-ga...
病毒分析--mirai物联网病毒
热门推荐
YuZhiHui_No1的专栏
11-01 1万+
物联网僵尸网络病毒“Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击,新一类僵尸网络从各种容易被感染的物联网设备中发起,流量巨大防不胜防。“Mirai”可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备,被病毒感染后,设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。本文针对Mirai源码进行详细分析。 1. 
FUZZ初学笔记(一)
qq_33517546的博客
04-22 3361
安全漏洞发觉方法:   1.白盒测试:     为源代码评审,这种方法也可以在自动化工具的辅助下完成,源代码分析工具一般可以分为三类:        1.1.1,编译时检查器:这种工具通常与编译器记成子啊一起,但是主要查找与安全性有关的问题而不是应用程序的功能问题        1.1.2,源代码浏览器:这种工具是专门设计用于辅助人工检查和评审源代码的软件工具,这类工具允许评审者执行代码的
Anti-Debug 小试牛刀
狼族小子的专栏
12-04 3306
Anti-Debug 小试牛刀  本文整理了日常生活中遇到的一些Anti-Debug技术,除非特殊说明,均适用于Mac/iOS开发 作为第一篇正式博文,会不定期更新,谢谢大家. 禁止附加或调试-ptrace中断检测-int3检测lldb更多 禁止附加或调试-ptrace PT_DENY_ATTACH1 is an Apple-specific constant
APP加固反调试(Anti-debugging)技术点汇总 (转载)
qq_24137739的博客
10-09 1081
0x00 时间相关反调试 通过计算某部分代码的执行时间差来判断是否被调试,在Linux内核下可以通过time、gettimeofday,或者直接通过sys call来获取当前时间。另外,还可以通过自定义SIGALRM信号来判断程序运行是否超时。 0x01 检测关键文件 (1)/proc/pid/status、/proc/pid/task/pid/status 在调试状态下,Linux内核会向某些文件写入一些进程状态的信息,比如向/proc/pid/status或/proc/pid/task/pid/
pci_datapack(PCI_MSG_TYPE_DBG,TXBUF_OPTR,__flush - __txget);
06-08
这是一个函数调用语句,调用了pci_datapack函数,并传递了三个参数:PCI_MSG_TYPE_DBG、TXBUF_OPTR和__flush - __txget。这个语句的作用可能是将调试信息打包成PCI消息,并存储到TXBUF_OPTR指向的缓冲区中。其中__flush和__txget是两个变量或宏定义,它们的具体含义需要根据上下文来确定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值