二进制学习-反跟踪技术

最新推荐文章于 2024-04-14 12:35:32 发布
最新推荐文章于 2024-04-14 12:35:32 发布
阅读量482 收藏 2
点赞数 1
分类专栏: 二进制学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39153247/article/details/79236920
版权

0x00.BeingDebugged

1.    PEB(Process Environment Block,进程环境块):

 (1).   有种保护技术会检测是否有调试器正在调试保护软件,然后需要获取是否被调试的消息,这个消息存储在PEB结构中,PEB结构:

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged; //被调试状态
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  BYTE                          Reserved4[104];
  PVOID                         Reserved5[52];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved6[128];
  PVOID                         Reserved7[1];
  ULONG                         SessionId;
} PEB, *PPEB;
 (2).   BYTE BeingDebugged  这里就是记录程序的调试状态的,(1代表被调试,0代表没有被调试)我们可以使用 BOOL WINAPI IsDebuggerPresent(void);这个函数来检测是否有调试器存在,返回非0值代表被调试,如果返回0代表没有被调试
 (3).   存储在另一个名为TEB(Thread Environment Block,线程环境块),Windows在调入进程,创建线程时,操作系统均会为每个线程分配TEB,而且FS段寄存器总是被设置成使得地址FS:0指向当前线程的TEB数据,这就为存取TEB数据提供了途径。Windows一般通过TEB间接得到PEB( https://en.wikipedia.org/wiki/Win32_Thread_Information_Block

FS:[0x30] 4 NT Linear address of Process Environment Block (PEB) 
 mov         eax,dword ptr fs:[00000030h]  //获取PEB结构基地址
 movzx       eax,byte ptr [eax+2]                       //根据PEB结构,BeingDebugged
 ret
所以利用以上远离OD可以清除掉BeingDebugged位来隐藏调试器

 (4).  然而!!!在WINDOWS XP SP2后的系统有了一个特性,PEB地址随机化!所以换一些套路来得到PEB  -。-

 (5).  下面两个函数就可以找到PEB,具体细节可以到对应网站查看。

//https://msdn.microsoft.com/en-us/library/windows/desktop/ms679363(v=vs.85).aspx

BOOL WINAPI GetThreadSelectorEntry(
  _In_  HANDLE      hThread,
  _In_  DWORD       dwSelector,
  _Out_ LPLDT_ENTRY lpSelectorEntry
);
 
//https://msdn.microsoft.com/en-us/library/ms684280(VS.85).aspx
最低0.47元/天 解锁文章
T1an5t
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
根据进程名获取启动参数
chaoguodong的专栏
02-07 1334
#define STATUS_SUCCESS                   ((NTSTATUS)0x00000000L) #define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L) typedef enum { ObjectNameInformation = 1 } OBJECT_INFORMATION_CLASS;
软件逆向高级工程
09-08
前言最近随着计算机的发展,软件日益更新,有很多公司发布的产品遭到篡改和破解,在总众多年的历史种逐渐形成了软件保护与软件破解之间的对抗产生了软件逆向工程这本门技术将在如下的课程讲解各种软件逆向知识,软件保护知识,已经破解脱壳调试知识,为初期学软件逆向不懂而又迷茫的同学门指明一条道路此套课堂能有效帮助同学们解决软件逆向中所遇到的大部分问题大纲软件逆向工程高级班分为调试篇汇编篇算法篇补丁篇HOOK篇将在如上这几篇对软件逆向的各个方面进行详解,包括网络验证的分析思路,封包算法的提取,以及各种软件保护技术,无论哪一篇都会从诸多个方面的细节进行详解调试篇:分为PEB,时间校验,CRC,NtQuery函数,内核过渡等知识要领与诸多方面的综合性详解,细节分为每一节课,每一节课目标清晰无比,每一节深入精髓进行讲解!汇编篇:一个程序编译完成之后是如何通过在计算机运行起来的,其中少不了底层知识的汇编指令,汇编篇中将深入浅出的带领同学们对MASM32SDK的一套汇编库中开发程序,熟悉汇编的原理,如何运用汇编写出一套花指令,并且去除指令,方便以后的算法学习以及为今后的学习打下坚实的基础算法篇:随着编程语言的发展,编程语言的标准也在发展,一些编译器善于运用数学的手法,对程序进行各种优化,然后我们进行分析,我们得需要一步步还原这个优化或清晰了解这个优化才有可能掌握这个数学模型优化,进一步还原代码,算法篇知识要领将在优化,技巧这方面表现的玲离尽致!此篇会带领同学们分析多个语言的算法,包括C/C++算法还原代码还原易语言代码还原 算分开库的实现,制作自己的第一个注册机等!补丁篇:说到补丁,同学们可能第一个想到的就是对方一些网络验证所用到的技巧,我的课程这一方面虽有涉及,但是补丁技术远远不止这一点,我的课程会详解更多的补丁知识原理,包括什么是补丁,补丁的真正概念,前辈们是如何善用补丁对程序的漏洞进行修补损坏的程序。将在此篇一一介绍HOOK篇:详细详解了各种HOOK的原理以及实现代码,包括网上流行所说的超级HOOK,COMHOOK,协议HOOK,代理中转等方法,怎么定位关键位置,环境的保存知识要领,hook关键的注意事项,为自己以后做hook行业打下坚实的基础课程每一个细节讲究的深入骨髓,通俗易懂的学习方式,全程贯彻原理,软件逆向中必不可少少的教程!
网络靶场实战-调试技术(上)
最新发布
蛇矛实验室
04-14 921
调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解调试技术,当遇到调试代码时,可以使用相对应的调试。
调试——CheckRemoteDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-21 1036
原理:查询进程环境块(PEB)中的IsDebugged标志。 如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 它不仅可以探测系统其他进程是否被调试,通过传递自身进程句柄还可以探测自身是否被调试。 检测函数样例: BOOL CheckDebug() { BOOL ret; CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret); return ret; }
调试 - CheckRemoteDebuggerPresent
LYSM
07-04 578
和 IsDebuggerPresent 差不多简单的调试技术 ???? BOOL bIsDbgPresent = FALSE; if(CheckRemoteDebuggerPresent(GetCurrentProcess(), &bIsDbgPresent) != 0){ if(bIsDbgPresent == TRUE){ cout << "发现调试器" << endl; } else{ cout << "没有调试器" << end
Windows堆
南宫封清的博客
10-20 999
堆(HEAP)的分配,使用,回收都是通过微软的API来管理的,最常见的API是malloc和new。在往底层走一点呢,这两个函数都会调 用HeapAlloc(RtlAllocateHeap)。同样的相关函数还有HeapFree用来释放堆,HeapCreate用来创建自己的私有堆。 下面是这些函数的调用链: HeapCreate->RtlCreateHeap->ZwAllocateVirtualMemory (这里会直接申请一大片内存,至于申请多大内存,由进程PEB结构中的字段觉得,HeapSe
r3v_ch4lls:Elemental X收集的源代码和逆向挑战的二进制文件-Source code collection
03-24
它通常涉及二进制文件的编译、调试、静态分析和动态分析。在这个挑战中,参与者需要对提供的二进制文件进行逆向,找出隐藏的功能或实现特定的任务。 2. GoLang(Golang): GoLang是由Google开发的一种静态类型...
计算机系统基础实验二-二进制炸弹.doc
06-05
"计算机系统基础实验二-二进制炸弹" 本实验报告是关于计算机系统基础的实验二,主题是二进制炸弹(Binary Bomb)。二进制炸弹是一个 Linux 可执行 C 程序,包含 6 个阶段(phase1~phase6),每个阶段要求输入一个...
计算机系统实验报告-二进制逆向工程(phase2\3\4\5)
01-15
二进制逆向工程是计算机安全和软件调试中的关键技术,它涉及对机器码的理解,以揭示其隐藏的逻辑和功能。在本报告中,学生通过分析汇编代码来理解一个名为 "bomb" 的可执行程序的行为。 1. **获得汇编语言文件**: ...
Rebours:二进制程序中控制流恢复的框架
05-02
4. **混淆**:在某些情况下,二进制代码可能包含混淆技术,旨在使逆向工程更加困难。Rebours可能包含针对这些技术的解混淆策略,帮助恢复原始的控制流。 5. **C++实现**:选择C++作为实现语言是因为其高效性和...
jd-gui.rar_java编译
09-20
在没有原始.java源文件的情况下,编译工具可以帮助开发者了解和学习现有的二进制字节码,这对于代码调试、逆向工程、学习第三方库的工作原理等都非常有帮助。"jd-gui.rar_java编译"这个资源提供了一个名为jd-gui...
种类齐全的调试与调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
易语言 调试 模块
08-11
易语言 调试 模块,用户层强力调试
软件二进制动态追踪技术
02-04
介绍基于Linux平台软件的二进制动态跟踪模式下的原理,方法,工具和实例展示
CheckRemoteDebuggerPresent调试
sanqiuai的博客
08-26 705
# include<Windows.h> # include<stdio.h> BOOL CheckDebug() { BOOL isDebugged; CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebugged); return isDebugged; } int main() { while (1) { if (CheckDebug()) { MessageBox(0, L"软件正在被调
Windows调试技术学习
Sciurdae的博客
01-01 1329
元旦快乐!!!只是粗浅的两天的一点笔记和实践记录。加解密一书每一章应该都要来回啃上几遍才能理解,书中好多还是不懂的,只能先学能理解的,后面再继续深入了。下一个该学异常处理了,学完就把这一次笔记的关于异常的调试补上。ε=(´ο`*))),元旦快乐!
关于Win7 x64下过TP保护(应用层)(转)
09-28 2432
非常感谢大家那么支持我上一篇教程。 Win10 快出了,所以我打算尽快把应用层的部分说完。 调试对象:DXF 调试工具:CE、OD、PCHunter、Windbg 调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。 应用层: 1、TP让调试器卡死(内核互动) 现象: &lt;ignore_js_op&gt;  如图,TP会检测...
180307 逆向-调试技术(2)CheckRemoteDebuggerPresent
whklhhhh的博客
03-23 1516
1625-5 王子昂 总结《2018年3月7日》 【连续第522天总结】 A. 调试技术(2) B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数,测试发现及时修改Be...
逆向入门-调试
AppWhite_Star的博客
07-30 2119
逆向基础-调试专题
PB17000002-古宜民-计算机系统详解课程实验与心得体会1
08-08
逐个阶段破解Phase_1gdb加断点到phase_1并运行,disas汇编查看代码:Dump of assembler code for function

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值