逆向-反调试技术总结-1(源于加密与解密)

最新推荐文章于 2021-01-25 17:47:07 发布
最新推荐文章于 2021-01-25 17:47:07 发布
阅读量439 收藏
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/106029260
版权

Beingdebugged

Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人
这个函数读取当前进程peb中的BeingDebugged标志

+0x002 beingDebugged 
+0X068 NtGlobalFlag

而peb储存在TEB(Thread Environment Block)
windows在调入进程,创建线程时,使得fs:0指向当前线程的TEB

TEB的结构

+0x030 processEnvironmentBlock

这里给出一个简化版的isdebuggerpresent

move eax , fs:[0x30]
movzx eax ,byte ptr [eax+2]

当然也可以用NtQueryInformationProcess获得PEB(不过这是后话了。。)

NtGlobalFlag

不要以为把这函数nop掉就没事了。。。好戏才刚刚开始
看到BeingDebugged被设为TRUE,NtGlobalFlag会有所变化
调试时NtGlobalFlag被设为0x70,平时则是0x00

Heap Magic

在WRK中有一个宏也会随着NtGlobalFlag的改变而在RtlCreateHeap中用RtlDebugCreateHeap创建调试堆。这个调试堆中含有大量的标志(例如0xBAAD0F0D和0xFEEEFEEE等),而正常情况下这个地址中却没有有意义的数据。(如果题目出得贱的化,可能会检测这里)
顺便提一句Themida壳会检测这里,防止被调试

从源头解决BeingDebugged

一切祸根来源与系统设置了一个BeingDebugged,只要改写这个值,就可以当作无事发生
但是如果把BeingDebugged设为False,之后不会在系统断点处触发中断了。因此还需要有技巧的设置:创建进程并调用WaitForDebugEvent后,在第一次LOAD_DLL_DEBUG_EVENT发生时,BeingDebugged=False,在第二次LOAD_DLL_DEBUG_EVENT时将BeingDebugged=True,之后会
停在系统断点

DebugEventCodeCountPEB.BeingDebugged
LOAD_DLL_DEBUG_EVENT0FALSE
LOAD_DLL_DEBUG_EVENT1TRUE
LOAD_DLLDEBUG_EVENT0FALSE
20000s
关注
专栏目录
工控协议逆向分析技术研究与挑战
fzq0625的博客
07-04 280
摘 要 近年来,工业互联网的安全事件日益频发,尤其是工业控制系统(industrial control system, ICS),该现象揭示了目前ICS中已经存在较多的安全隐患,并且那些针对ICS安全隐患的大多数攻击和防御方法都需要对工控协议进行分析.然而,目前ICS中大多数私有工控协议都具有与普通互联网协议完全不同的典型特征,如结构、字段精度、周期性等方面,导致针对互联网协议的逆向分析技术通常都无法直接适用于工控协议.因此,针对工控协议的逆向分析技术已经成为近几年学术界和产业界的研究热点.首先结合2种典型
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4294
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
逆向的基本实现方式
abc_670的博客
03-14 2454
要完全阻止对程序的逆向分析跟踪是不可能的,但是还是可以扰乱攻击者的视线,使得逆向分析变得十分困难,最终使攻击者放弃攻击。下面介绍几种基本的逆向方法,在实际使用中,通常采用其中的几种方法!1.消除字符消息这是十分必要的逆向方法,否则留下的符号信息对逆向人员来说特别有用!对于非基于字节码的程序来说,只要从程序中的可执行文件中去除所有符号信息就可以,对于基于字节码的程序来说,可以使用字节码混淆器吧所...
逆向技术汇总
weixin_30532837的博客
03-11 409
最近看到看雪上有人发了一个病毒常用手段的总结“发一个自写的病毒工具技术合集”,然后发现是学习了一本书的总结项目“WINDOWS黑客编程技术详解",最后决定总结一下自己学习逆向所遇到的点点滴滴,这里会引用到一些好的示例和代码,我会在文章的参考哪里列出来。等后面有时间了我会把文章的内容录成视频分享出来。最后宣传一下自己的团队“极客方舟”。 系列:这里会出一个较完整的逆向系列教程,尽量把逆向方面...
reversing逆向分析技术总结-(1)
fa1c4的blog
01-14 392
32位软件逆向 1 启动函数 winmain函数, 初始化后调用. 2 函数 2.1 函数识别 call, ret区分函数调用和跳转指令 通过call识别函数首地址 2.2 函数参数 (1) 栈传递参数 常用调用约定 | 约定类型 | __cdecl | pascal | stdcall | Fastcall | |—|---|—|---|—| ...
iOS高级调试&逆向技术-汇编寄存器调用
chaoyuan899的专栏
07-13 8176
前言本文翻译自Assembly Register Calling Convention Tutorial 序言通过本教程,你会可以看到CPU使用的寄存器,并探索和修改传递给函数调用的参数。还将学习常见的苹果计算机架构以及如何在函数中使用寄存器。这就是所谓架构的调用约定。 了解汇编是如何工作的,以及特定架构调用约定是如何工作是一项极其重要的技能。它可以让你在没有源码的情况下,观察和修改传递给函数的参数
reversing逆向分析技术总结-(2)
fa1c4的blog
01-22 420
64位软件逆向技术 (x64通常是指AMD64, Intel64的合称 1 寄存器 RAX, RBX, RCX, RDX, R8 ~ R15, 扩充8个128位寄存器XMM(一般用来优化代码) 寄存器是向下兼容的, 用后缀DWORD, WORD, BYTE, 例如R8(64位), R8D(32位), R8W(16位), R8B ...
Android逆向之旅---Android中如何获取在非Root设备中获取应用隐私数据
hgfujffg的博客
02-25 664
Android逆向之旅---Android中如何获取在非Root设备中获取应用隐私数据
逆向工程基础入门
随着软件产业的发展,逆向工程在软件领域也逐渐崭露头角,成为了软件开发、安全领域等的重要技术手段。 ## 1.3 逆向工程的应用领域 逆向工程被广泛应用于软件开发、安全分析、故障排查、产品维护等方面。在软件开发...
180315 逆向-调试技术(8)调试器漏洞
whklhhhh的博客
04-03 442
1625-5 王子昂 总结《2018年3月15日》 【连续第530天总结】 A. 调试技术(8) B. 调试器漏洞 只要是软件,就存在漏洞,调试器当然也不例外。 以OD为例 OutputDebugStringA 这个API向调试器发送一个格式化的串,OD会在底端显示相应的信息 而OD中对这个API存在一个格式化字符串漏洞 有些版本的OD已经修复了这个漏洞 DRx清理BUG...
Ollydbg 1.1.0 终结版, 具有很强的调试能力
11-13
通常的OD调试某些具有调试能力的加壳的程序的时候,OD容易被发现,导致一打开就会退出/自动关闭.只能望程序兴叹. 类似的加壳类型, safengine licensor, themida winlicense 2.x等都是这样. 现在这个OD经过了一些修改和加强, 可以避免在调试开始阶段就被黑掉. 其中的脚本之类的插件还不是最新版的, 可以自己到网上下载最新的.dll文件, 替换掉就可以. 还有选项和外观里面的路径可能需要根据自己放文件夹的实际路径,重新设置一下. == 特别说明: 这个是调试软件, 不是脱壳机.
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
经验证可以调试Themida/WL2.1.0.10的StrongOD Plugin 配置说明
07-01
经验证可以调试Themida/WL2.1.0.10的StrongOD Plugin 配置说明
经验证可以调试Themida/WL2.1.0.10的Ollydbg 2009
07-01
经验证可以调试Themida/WL2.1.0.10的Ollydbg 2009
逆向---调试技巧
xuqi7
12-11 193
简单杂乱的调试思路
脱壳入门(八)之带调试加密
w_g3366的博客
09-05 1073
文章目录程序分析分析过程1.找OEP2.调试3.解密IAT4.OD脚本还原IAT5.内存重建IAT表6.Dump文件,修复 程序分析 查壳:PESpin壳,连接器版本也没有 分析过程 1.找OEP 用OD载入文件,F7单步走几步就可以看到pushad,用ESP定律 程序直接运行完毕,并没有断下来,这说明这个壳有清除硬件断点的调试 得换条路,下API断点,常见的入口API VB程序:Ge...
190328 逆向-浅谈调试
热门推荐
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
简单跟踪调试(转加密3)
vincent_1011的专栏
01-23 856
/*******************************************************/*《加密解密》第三版配套实例/* 第15章 跟踪技术/*15.2.3 ThreadHideFromDebugger/* code by forgot 2008.3/*(c) 看雪软件安全网站 www.pediy.com 2000-2008********
js逆向 混淆加密调试分析学习
迷心兔的博客
01-25 708
学习文章:https://blog.csdn.net/qq_18421167/article/details/100574947 网站:aHR0cCUzQS8veXMuZmdqLnRhaXl1YW4uZ292LmNuL0ZpcnN0aGFuZC90eWZjL3B1Ymxpc2gvcC9Qcm9qZWN0TGlzdC5kbw== 1.要分析加密的数据 2.断点调试【打印可变参数和结果】 有2个debugger暗桩: 第一个:never pause here 第二个:谷歌GoRes插件替换源文件 扣.
SHA-1单字符解密软件: 自动匹配与解密方法
资源摘要信息:"SHA-1是一种广泛使用的加密散列函数,它可以将任意长度的数据输入转换成固定长度(160位)的散列值输出。这里所述的SHA-1解密特指对SHA-1散列值进行向操作,尝试还原其原始输入数据的过程。" 知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值