异常和中断——调试与反调试

最新推荐文章于 2022-10-24 20:58:35 发布
最新推荐文章于 2022-10-24 20:58:35 发布
阅读量245 收藏 1
点赞数 1
文章标签: 调试与反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36916179/article/details/91447437
版权

文章目录

使用PEB进行反调试

使用PEB中的BeginDebug字段来检测是否处于调试环境。

//若返回值为TRUE则表示处于调试状态
bool CheckDebug()
{
   
	bool bDebuged = false;
	_asm push eax;
	_asm mov eax, fs:[0x30];// eax保存PEB首地址
	_asm mov al,byte ptr ds:[eax + 2];//BeginDebug字段的值
	_asm mov bDebuged, al;
	_asm pop eax
	return bDebuged;
}

使用 IsDebuggerPresent()来判断是否是处于调试环境。

原理和上面一个一样;如:

// IsDebuggerPresent()返回值为True则表示处于调试状态
	bool bDebug = IsDebuggerPresent();//它使用的方式,和上一个是一样的
	if (bDebug)
	{
   
		MessageBox(NULL, L"正在被调试", L"注意", 0);
	}
	else
	{
   
		MessageBox(NULL, L"现在很安全", L"恭喜", 0);
	}

检测PEB的GLobal来判断是否处于调试环境

在PEB+0x68处为peb的global字段,当其值=0x70时表示处于调试环境。

bool CheckDebug()
{
   
	DWORD dwSign = 0;
	_asm push eax;
	_asm mov eax, fs:[0x30];
	_asm mov eax, [eax + 0x68];
	_asm mov dwSign, eax;
	_asm pop eax
	return dwSign==0x70;
}

使用 NtQueryInformationProcess 进行反调试

API在ntdll.lib中,要使用的话必须导入库文件。
#pragma comment(lib,"ntdll.lib")
NtQueryInformationProcess
源码实现:

//没注释,要我自己跟,我还没来得及跟。。。先就这样吧。
NTSTATUS NTAPI NtMyQueryInformationProcess(
	IN HANDLE ProcessHandle,
	IN PROCESSINFOCLASS ProcessInformationClass,
	OUT PVOID ProcessInformation,
	IN ULONG ProcessInformationLength,
	OUT PULONG ReturnLength OPTIONAL
)
{
   
	_asm {
   


		mov         eax, 16h
		xor         ecx, ecx
		lea         edx, [esp + 4]
		call        dword ptr fs : [0C0h]
		add         esp, 4
		ret         14h
		mov         eax,
最低0.47元/天 解锁文章
被bin按在地上
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
异常中断
u011728490的博客
01-01 3667
一、异常中断简介 中断一般由硬件(如外设和外部输入引脚)产生的事件,它会引起程序流偏离正常的流程(如给外设提供服务)。当外设或硬件需要处理器的服务时,一般会出现下面的流程: ①外设确认到处理器的中断请求。 ②处理器暂停当前执行的任务 ③处理器执行外设的ISR,若有必要可以选择由软件清除中断请求。 ④处理器继续执行之前暂停的任务。 所有的cortex-m处理器都会提供一个用于中断处理的嵌套向量中断控制器(NVIC)。除了中断请求,还有其他需要服务的事件,将其称为异常。按照ARM的说法,中断也是一种异常。co
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4720
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
SteamLoader-绕过Steam ThreadHideFromDebugger-C/C++开发
05-27
一个简单的绕过Steam的ThreadHideFromDebugger调试技术的方法。 SteamLoader-绕过Steam ThreadHideFromDebugger一种简单的绕过Steam的ThreadHideFromDebugger调试技术的方法,该技术不允许在遇到断点时将执行流转移到调试器。 这种技术存在于(旧的?)Steam游戏中,例如Orcs Must Die 2,FEAR 3,DeusEx,Brinck,Fall out系列,Duke Nukem。 一旦达到断点,游戏就会退出。 我在Guided Hacking论坛上对此做了完整的解释。 Visual Studio解决方案包含两个
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3315
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
脱壳的艺术--5 调试器攻击技术
FISH 的专栏
01-19 1454
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁用
易语言源码易语言调试暂停模块源码.rar
03-30
"易语言源码易语言调试暂停模块源码.rar"这个压缩包文件提供的是易语言的一个特定模块——调试暂停模块的源代码。下面我们将详细探讨这个模块的相关知识点。 1. **易语言基础**: 易语言的基础语法结构简单...
嵌入式系统电源的设计与调试
07-23
本文将通过实际案例——焊接机控制系统的电源设计与调试过程中的具体问题,深入探讨嵌入式系统电源设计与调试的方法。 #### 二、系统硬件结构 在焊接机控制系统的设计中,采用了AT91RM9200作为核心微处理器。为了...
debugger:x86 和 x64 的示例调试
06-12
此外,调试器还需要实现线程管理和异常处理,以便在多线程环境下跟踪执行路径。 在实际操作中,调试器的实现可能包括以下几个步骤: 1. **连接到目标进程**:调试器通过API或远程协议连接到目标程序。 2. **设置...
VB6.0 TIMER 调试例子.rar
07-10
VB6.0 TIMER 调试例子源代码下载,假设这里是我们的注册过程,我们隔三差五随意将以下代码复制粘帖,实际软件中,应该彻底隐蔽这些提示消息,实际软件中,应该彻底隐蔽这些提示消息,直接引入错误的分支去执行乱七八糟的代码。
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
调试技术实例
11-10
调试技术实例
电机拖动与控制 电动机电气控制线路调试步骤与方法.doc
07-09
《电机拖动与控制——电动机电气控制线路调试步骤与方法》 在电机控制系统的设计与应用中,确保电气控制线路的正确性和稳定性至关重要。本文将详细介绍电动机电气控制线路的调试步骤与方法,以帮助理解和掌握电机...
单片机课程设计——利用外部中断进行遥控解码实验(汇编).zip
09-21
单片机课程设计是学习和掌握微控制器应用的重要实践环节,而本次实验的主题是利用外部中断进行遥控...通过分析和调试这些文件,学生不仅可以学习到单片机的中断机制,还能提升对汇编语言编程和单片机系统设计的理解。
调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 388
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种调试手法可以检测大部分的第三方OD。 首先...
调试技术总结(看雪)
eli的博客
12-07 2801
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试技术(一)--静态调试
weixin_30871293的博客
03-13 232
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
anti-debug你必须知道的基础篇 All in one
最新发布
jentle8的博客
10-24 903
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值