反调试技术

最新推荐文章于 2024-08-14 01:30:56 发布
最新推荐文章于 2024-08-14 01:30:56 发布
阅读量1k 收藏 2
点赞数
分类专栏: 软件调试 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36963214/article/details/109502322
版权
本文详细介绍了Windows API中的反调试技术,包括IsDebuggerPresent、CheckRemoteDebuggerPresent、NtQueryInformationProcess等函数的使用及反反调试策略。通过分析这些API的实现原理,展示了如何检测和规避调试器的存在。
摘要由CSDN通过智能技术生成

目录

Windows反调试技术

Windows API反调试

IsDebuggerPresent

用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下:

MOV EAX,DWORD PTR FS:[0x30]
MOVZX EAX,BYTE PTR DS:[EAX+0x2]
RETN

FS寄存器指向的是TEB(线程环境块),其数据结构如下:

typedef struct _NT_TEB
{
    NT_TIB Tib;                         // 00h
    PVOID EnvironmentPointer;           // 1Ch
    CLIENT_ID Cid;                      // 20h
    PVOID ActiveRpcInfo;                // 28h
    PVOID ThreadLocalStoragePointer;    // 2Ch
    PPEB Peb;                           // 30h          <--这里是FS:[0x30]
    ULONG LastErrorValue;               // 34h
    ULONG CountOfOwnedCriticalSections; // 38h
    PVOID CsrClientThread;              // 3Ch
    PVOID Win32ThreadInfo;              // 40h
    ULONG Win32ClientInfo[0x1F];        // 44h
    PVOID WOW32Reserved;                // C0h
    ULONG CurrentLocale;                // C4h
    ULONG FpSoftwareStatusRegister;     // C8h
    PVOID SystemReserved1[0x36];        // CCh
    PVOID Spare1;                       // 1A4h
    LONG ExceptionCode;                 // 1A8h
    ULONG SpareBytes1[0x28];            // 1ACh
    PVOID SystemReserved2[0xA];         // 1D4h
    GDI_TEB_BATCH GdiTebBatch;          // 1FCh
    ULONG gdiRgn;                       // 6DCh
    ULONG gdiPen;                       // 6E0h
    ULONG gdiBrush;                     // 6E4h
    CLIENT_ID RealClientId;             // 6E8h
    PVOID GdiCachedProcessHandle;       // 6F0h
    ULONG GdiClientPID;                 // 6F4h
    ULONG GdiClientTID;                 // 6F8h
    PVOID GdiThreadLocaleInfo;          // 6FCh
    PVOID UserReserved[5];              // 700h
    PVOID glDispatchTable[0x118];       // 714h
    ULONG glReserved1[0x1A];            // B74h
    PVOID glReserved2;                  // BDCh
    PVOID glSectionInfo;                // BE0h
    PVOID glSection;                    // BE4h
    PVOID glTable;                      // BE8h
    PVOID glCurrentRC;                  // BECh
    PVOID glContext;                    // BF0h
    NTSTATUS LastStatusValue;           // BF4h
    UNICODE_STRING StaticUnicodeString; // BF8h
    WCHAR StaticUnicodeBuffer[0x105];   // C00h
    PVOID DeallocationStack;            // E0Ch
    PVOID TlsSlots[0x40];               // E10h
    LIST_ENTRY TlsLinks;                // F10h
    PVOID Vdm;                          // F18h
    PVOID ReservedForNtRpc;             // F1Ch
    PVOID DbgSsReserved[0x2];           // F20h
    ULONG HardErrorDisabled;            // F28h
    PVOID Instrumentation[0x10];        // F2Ch
    PVOID WinSockData;                  // F6Ch
    ULONG GdiBatchCount;                // F70h
    ULONG Spare2;                       // F74h
    ULONG Spare3;                       // F78h
    ULONG Spare4;                       // F7Ch
    PVOID ReservedForOle;               // F80h
    ULONG WaitingOnLoaderLock;          // F84h
    PVOID StackCommit;                  // F88h
    PVOID StackCommitMax;               // F8Ch
    PVOID StackReserve;                 // F90h
    PVOID MessageQueue;                 // ???
}

PEB(进程环境块)的数据结构如下:

typedef struct _PEB
{
    UCHAR InheritedAddressSpace;                     // 00h
    UCHAR ReadImageFileExecOptions;                  // 01h
    UCHAR BeingDebugged;                             // 02h    这里是FS:[0x30] + 0x2
    UCHAR Spare;                                     // 03h
    PVOID Mutant;                                    // 04h
    PVOID ImageBaseAddress;                          // 08h
    PPEB_LDR_DATA Ldr;                               // 0Ch
    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h
    PVOID SubSystemData;                             // 14h
    PVOID ProcessHeap;                               // 18h
    PVOID FastPebLock;                               // 1Ch
    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h
    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h
    ULONG EnvironmentUpdateCount;                    // 28h
    PVOID* KernelCallbackTable;                      // 2Ch
    PVOID EventLogSection;                           // 30h
    PVOID EventLog;                                  // 34h
    PPEB_FREE_BLOCK FreeList;                        // 38h
    ULONG TlsExpansionCounter;                       // 3Ch
    PVOID TlsBitmap;                                 // 40h
    ULONG TlsBitmapBits[0x2];                        // 44h
    PVOID ReadOnlySharedMemoryBase;                  // 4Ch
    PVOID ReadOnlySharedMemoryHeap;                  // 50h
    PVOID* ReadOnlyStaticServerData;                 // 54h
    PVOID AnsiCodePageData;                          // 58h
    PVOID OemCodePageData;                           // 5Ch
    PVOID UnicodeCaseTableData;                      // 60h
    ULONG NumberOfProcessors;                        // 64h
    ULONG NtGlobalFlag;                              // 68h    <--这里也很重要
    UCHAR Spare2[0x4];                               // 6Ch
    LARGE_INTEGER CriticalSectionTimeout;            // 70h
    ULONG HeapSegmentReserve;                        // 78h
    ULONG HeapSegmentCommit;                         // 7Ch
    ULONG HeapDeCommitTotalFreeThreshold;            // 80h
    ULONG HeapDeCommitFreeBlockThreshold;            // 84h
    ULONG Nu
最低0.47元/天 解锁文章
youngseaz
关注
专栏目录
第十一章 软件保护技术(五)(调试技术
zlmm741的博客
05-17 930
文章目录调试技术调试器状态检测调试器端口检测结论进程状态检测 调试技术 目的 防止程序被第三方调试调试和分析 方法 在程序启动过程中检查其是否被调试器附加 自身程序的父进程是否存在异常 进程列表中是否有正在运行的调试器 …… 实例:CheckDebugger 调试器状态检测 动态调试通过调试器 Hook 软件,进而获取软件运行时的数据。可在软件中添加检测调试器的代码,检测到软件被调试器连接则中止运行 Android SDK 提供 android.os.Debug.isDebu
C++ 调试(TLS回调函数)
LYSM
09-05 1305
关于 TSL 调试的内容,参考这篇文章 说完调试,如果不说调试就 毫无意义 ! 下面讲下针对 TLS 回调函数的调试方法。 引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表: 进入这个表中查看,发现它的大小为 24 个字节: 关于 TLS 的结构体,有 32 位和 64 位两个版本: 其中 _IMAGE_TLS_DIRECTORY64 大小为:84+42=40,...
调试调试调试
最新发布
m0_57836225的博客
08-14 230
调试是软件开发过程中的一个重要环节,旨在发现和解决软件中的错误、优化性能、理解程序的行为和逻辑。调试工具可以让开发者跟踪程序的执行流程、查看变量的值、设置断点等。调试是软件开发者为了防止其程序被非法调试、分析和破解而采取的一系列技术手段。需要注意的是,在未经授权的情况下对软件进行调试调试可能涉及违法和违软件使用协议。调试则是试图绕过或对抗软件中的调试机制,以便能够对程序进行调试和分析。2. 代码补丁:修改程序的二进制代码以绕过调试检查。3. 调试工具:专门用于应对常见调试技术
聊一聊对一个 C# 商业程序的调试
一线码农的专栏
11-02 501
这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。
软件调试技术,看这一篇就够了
jentle8的博客
11-07 265
二进制调试技术汇总 all in one
VC教程:各种调试技术原理与实例.rar
07-09
PDF电子版的VC教程,各种调试技术原理与实例,以图文的方式讲解VC 下的调试技术细节。
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用调试技术。本篇文章将深入探讨调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术调试技术主要目标是检测调试器的...
简谈Windows下的调试技术.pdf
09-25
简谈Windows下的调试技术 简谈Windows下的调试技术 简谈Windows下的调试技术 简谈Windows下的调试技术 简谈Windows下的调试技术 简谈Windows下的调试技术
调试调试
cyynid的博客
05-05 1141
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
dword ptr指令详细解析
09-05
8086CPU的指令,可以处理两种尺寸的数据,byte和word。所以在机器指令中要指明,指令进行的是字操作还是字节操作
TLS调试 调试
ADADQDQQ的博客
07-19 441
调试调试
kernweak的博客
05-23 460
调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
调试技术详解与实战
"这篇文档是唐久涛关于调试技术的总结,主要涵盖了多种检查和规避调试器的技术,包括但不限于检查窗口类名和窗口名、检测调试器进程、父进程检查、时间敏感程序段、StartupInfo结构分析、BeingDebugged标志、PEB和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值