DbgUiRemoteBreakin反调试

最新推荐文章于 2024-04-14 12:39:17 发布
最新推荐文章于 2024-04-14 12:39:17 发布
阅读量2k 收藏 3
点赞数
分类专栏: 反调试 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanqiuai/article/details/120071570
版权

DbgUiRemoteBreakin是ntdll提供的用于在目标进程中创建远线程后下软件断点的函数

当我们用OD附加调试时,CreateRemoteThread函数在目标程序中创建了一个远程线程,然后在远程线程中调用DbgUiRemoteBreakin函数,DbgUiRemoteBreakin内部调用了DbgBreakPoint函数,DbgBreakPoint函数内部下了一个int 3断点,触发异常让操作系统运行异常处理程序,然后操作系统把控制权交管给调试器
ps:DbgUiIssueRemoteBreakin内部调用了DbgUiRemoteBreakin

反调试
hook DbgUiRemoteBreakin 函数,在内部直接调用ExitProcess()退出程序,不让程序被调试器成功附加
这里我们使用创建TLS回调的方式hook DbgUiRemoteBreakin (记录一下TLS创建流程)

/// <summary>
///添加文件tls.c
/// </summary>
//tls.c start
#include <Windows.h>
#pragma data_seg(".tls")
#pragma comment(linker, "/INCLUDE:__tls_used")
int _tls_index = 0;
int _tls_start = 0;
int _tls_end = 0;
int __xl_a = 0;
int __xl_z = 0;
extern PIMAGE_TLS_CALLBACK tls_callbacktbl[];//TLS回调函数数组
IMAGE_TLS_DIRECTORY32 _tls_used =
{
    (DWORD)&_tls_start,
    (DWORD)&_tls_end,
    (DWORD)&_tls_index,
    (DWORD)tls_callbacktbl,
    0,
    0
};
#pragma data_seg(".tls$ZZZ")
#pragma data_seg(".CRT$XLA")
#pragma data_seg(".CRT$XLZ")
#pragma data_seg(".rdata$T")
//tls.c end

# include<stdio.h>
# include<windows.h>
void HookDbgUiRemoteBreakin();
/// <summary>
///定义TLS回调函数
/// </summary>
void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
	switch (Reason)
	{
	case DLL_PROCESS_ATTACH:
		HookDbgUiRemoteBreakin();
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}
}
/// <summary>
///注册TLS回调函数
/// </summary>
extern "C" PIMAGE_TLS_CALLBACK tls_callbacktbl[] = { TLS_CALLBACK, 0 };
int main()
{
	static int i = 0;
	while (1)
	{
		Sleep(1000);
		printf("当前程序运行中. EIP 位置 等于 %d \r\n", i++);
	}
	return 0;
	system("pause");
}
void HookDbgUiRemoteBreakin()
{
	BYTE	bBuffer[0x10] = { 0 };
	DWORD	dwBreakAddress;					//DbgUiRemoteBreakin函数的地址
	DWORD	dwOldProtect;
	DWORD	dwNum;

	dwBreakAddress = (DWORD)GetProcAddress(LoadLibrary(L"ntdll.dll"), "DbgUiRemoteBreakin");
	if (dwBreakAddress == 0)
		return ;
	bBuffer[0] = 0xE9;									//jmp指令字节码
	*((DWORD*)(bBuffer + 1)) = (DWORD)ExitProcess - dwBreakAddress - 5;			//ExitProcess函数偏移地址

	VirtualProtect((LPVOID)dwBreakAddress, 0x10, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	WriteProcessMemory(GetCurrentProcess(), (LPVOID)dwBreakAddress, bBuffer, 5, (SIZE_T*)&dwNum);
	VirtualProtect((LPVOID)dwBreakAddress, 0x10, dwOldProtect, &dwOldProtect);
}

反反调试
对照着本进程自身加载的未被hook的系统模块来复原目标进程被hook的系统模块
关键代码实现

# include<Windows.h>
# include<Tlhelp32.h>
# include<stdio.h>

//==================================================================
//函数名: GetProcessPID
//功能:获取指定进程名的进程的PID
//输入参数1:IN,目标进程的名称
//返回值:获取成功返回PID,获取失败返回NULL
//==================================================================
DWORD GetProcessPID(PCWCHAR name)
{

    //初始化进程快照
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(PROCESSENTRY32);
    HANDLE hProcessSanp = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);  //获得快照句柄

    Process32First(hProcessSanp, &pe32);  //获取第一个进程
    do
    {


        if (wcscmp(name, pe32.szExeFile) == 0)
        {
            CloseHandle(hProcessSanp);//关闭快照句柄,避免内存泄漏
            return pe32.th32ProcessID; //注意这里使用的权限

        }
    } while (Process32Next(hProcessSanp, &pe32));

    CloseHandle(hProcessSanp);//关闭快照句柄,避免内存泄漏
    return NULL;


}

//==================================================================
//函数名: GetModuleInfo
//功能:获取指定进程的对应模块名的模块的信息  
//输入参数1:IN,目标进程的PID
//输入参数2:IN,指定模块的模块名
//输入参数3:OUT,模块的信息结构体 PMODULEENTRY32
//返回值:获取成功返回TRUE,获取失败返回FALSE
//注意:模块名区分大小写
//==================================================================
BOOL GetModuleInfo(DWORD pid, PCWCHAR ModuleName, OUT PMODULEENTRY32 pme32)
{
    MODULEENTRY32 me32;
    me32.dwSize = sizeof(MODULEENTRY32);                                    //在使用这个结构前,先设置它的大小
    HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid);  //HANDLE也是属于句柄,是通用句柄  ,HWND是窗口句柄

    if (hModuleSnap == INVALID_HANDLE_VALUE)     //INVALID_HANDLE_VALUE表示无效的句柄
    {
        printf("模块读取失败\n");
        return FALSE;
    }
    BOOL bMore = Module32First(hModuleSnap, &me32);    //获取第一个模块信息
    if (wcscmp(ModuleName, me32.szModule) == 0)
    {
        //printf("module name=%ws\n", me32.szModule);
        *pme32 = me32;
        return TRUE;
    }
    while (bMore)
    {
        bMore = Module32Next(hModuleSnap, &me32);
        if (wcscmp(ModuleName, me32.szModule) == 0)
        {
            //printf("module name=%ws\n", me32.szModule);
            *pme32 = me32;
            return TRUE;
        }
    }
    return FALSE;
}

//==================================================================
//函数名: RecoverModule
//功能:恢复目标进程被hook的系统模块  
//输入参数1:IN,目标进程的进程名
//输入参数2:IN,指定模块的模块名
//输入参数3:IN,被hook的位置与被hook模块的基地址的偏移
//输入参数4:IN,被hook的长度
//返回值:恢复成功返回TRUE,恢复失败返回FALSE
//==================================================================
BOOL RecoverModule(LPCWCHAR ExeName, LPCWCHAR ModuleName, DWORD Offset, DWORD Length)
{
    //devenv.exe
    DWORD ExePID =  GetProcessPID(ExeName);
    printf("ExePID=%d\n", ExePID);
    if (ExePID == NULL)
    {
        printf("获取程序PID失败\n");
        return FALSE;
    }
    MODULEENTRY32 me;
    BOOL result = GetModuleInfo(ExePID, ModuleName, &me);
    if (result == FALSE)
    {
        printf("获取模块信息失败\n");
        return FALSE;
    }
    printf("module name=%ws\n", me.szModule);
    HMODULE hModule = GetModuleHandle(ModuleName);
    LONG StartPos = (LONG)hModule + (LONG)Offset;
    HANDLE hExe = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ExePID);
    if (result == 0)
    {
        printf("打开进程失败\n");
        return FALSE;
    }
    char buffer[256];
    DWORD NumberOfBytesRead;
    DWORD NumberOfBytesWritten;
    DWORD OldProtect;
    result = ReadProcessMemory(GetCurrentProcess(), (PVOID)StartPos, buffer, Length, &NumberOfBytesRead);
    printf("NumberOfBytesRead=%d\n", NumberOfBytesRead);
    if (result == 0)
    {
        printf("读内存失败,错误信息=%d\n",GetLastError());
        return FALSE;
    }
    result = VirtualProtectEx(hExe, (PVOID)StartPos, Length, PAGE_EXECUTE_READWRITE, &OldProtect);
    if (result == 0)
    {
        printf("更改目标程序内存属性失败,错误信息=%d\n", GetLastError());
        return FALSE;
    }
    result = WriteProcessMemory(hExe, (PVOID)StartPos, buffer, Length, &NumberOfBytesWritten);
    if (result == 0)
    {
        printf("写内存失败\n");
        return FALSE;
    }
    result = VirtualProtectEx(hExe, (PVOID)StartPos, Length, OldProtect, &OldProtect);
    if (result == 0)
    {
        printf("恢复目标程序内存属性失败\n");
        return FALSE;
    }
    CloseHandle(hExe);
    return TRUE;
}
sanqiuai
关注
专栏目录
简单绕过 DbgUiRemoteBreakin 调试
墨鱼菜鸡
05-04 257
调试器附加到游戏下断点后,会出现以下提示: (OllyDbg 和 x64dbg 的现象应该是游戏闪退) 第一时间想到的就应该是游戏对有关下断的API进行了HOOK,DbgUiRemoteBreakin这个函数内部会调用Db...
[原]调试实战——使用windbg调试TerminateThread导致的死锁
01-06 587
调试debugwindbg死锁deadlock 前言 项目里的一个升级程序偶尔会死锁,查看dump后发现是死在了ShellExecuteExW里。经验少,不知道为什么,于是在高端调试论坛里发帖求助,链接如下http://advdbg.org/forums/6520/ShowPost.aspx 根据张银奎老师的描述可知,应该是拥有关键段的线程意外结束了。仔细检查项目中的代码,...
C++ 调试DbgUiRemoteBreakin)
LYSM
11-19 2712
碰到一个有调试的软件,正常附加这个进程时是会失败的(进程崩溃) 这是因为程序挂钩了 DbgUiRemoteBreakin 这个 API 的原因,打开 PCHunter,查看进程钩子,找到 DbgUiRemoteBreakin 恢复: (恢复后不要忘记刷新下看钩子是否还会自动生成) 再次用调试器附加,发现程序已成功断下: 神兽致敬 = = ...
ntdll!DbgUiRemoteBreakin工作原理
如鹿渴慕泉水的专栏
12-16 1051
0:067> uf ntdll!DbgUiRemoteBreakin ntdll!DbgUiRemoteBreakin: 77a8aed0 6a08 push 8 77a8aed2 684068ae77 push offset ntdll!QueryRegistryValue+0x13d4 (77ae6840) 77a8aed7 e8a4e3fdff call ntdll!_SEH_prolog4 (77a69280) 77a8aedc 64
网络靶场实战-调试技术(下)
最新发布
蛇矛实验室
04-14 625
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
RVDbg:RVDbg是Windows进程的debuggerexception处理程序,具有规避调试技术的功能。 (正在以下文件中工作的更清洁,有记录的代码库:核心分支)
02-10
RVDbg的整个前提不是公开使用任何处理器功能(例如,设置CPU调试寄存器,使用EFLAGS中的陷阱标志等)或任何记录在案的API功能进行调试,否则将导致对已知例程的调用和回调例如DbgUiRemoteBreakin,以避免被调试器...
[原]调试实战——使用windbg调试DLL卸载时的死锁
01-06 435
调试debugwindbg死锁deadlock 前言 最近我们的程序在退出时会卡住,调查发现是在卸载dll时死锁了。大概流程是这样的:我们的dll在加载的时候会创建一个工作线程,在卸载的时候,会设置退出标志并等待之前开启的工作线程结束。为了研究这个经典的死锁问题,写了一个模拟程序,用到的dump文件及示例代码参考附件。 {% note info %} 这也是几年前在项目中...
[原]调试TerminateThread导致的死锁
11-08 429
这是继上一篇 [原]调试DLL卸载时的死锁 后的又一篇使用windbg调试死锁的文章。希望能对大家有所帮助。前言 之前项目里的一个升级程序偶尔会死锁,查看dump后发现是死在了Shell...
Windows Native Debugging Internals
01-25 2159
IntroductionIn part two of this three part article series, the native interface to Windows debugging is dissected in detail. The reader is expected to have some basic knowledge of C and general NT K
delphi 7.0程序运行关闭最后弹出CPU窗口:ntdll.DbgBreakPoint的解决方法
cai5的专栏
07-03 4665
问题出现现象:cpu窗口中出现如下内容: 7C92122E 90 nop 7C92122F 90 nop ntdll.DbgBreakPoint://--------------------------- 7C921230 CC int 3 //弹出时指定的行------------ 7C921231 C3 ret 7C921232 8BFF mov edi,edi 7
r3调试
liuhaidon1992的博客
01-08 2078
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
XX游戏R3层调试 初探
把梦想放飞在蓝色的天空里...
12-24 8561
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
初探Windows用户态调试机制
weixin_30587927的博客
07-19 129
我们在感叹Onlydbg强大与便利的同时,是否考虑过它实现的原理呢? 作为一个技术人员知其然必知其所以然,这才是我们追求的本心。 最近在学习张银奎老师的《软件调试》,获益良多。熟悉Windows调试机制,对我们深入理解操作系统以及游戏保护的原理有着莫大好处。 0X01 初探调试原理 调试系统的实现思路如图所示: 调试器与被调试程序建立联系,程序像调试器发送调试信息...
差异分析定位Ring 3保护模块
博文视点(北京)官方博客
04-10 3372
差异分析定位Ring 3保护模块 由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。 在分析的过程中,为了防止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,如图8-14所示。 图8-14  悬挂除自己线程外的其他线程 从图8-14中可以看出,除自己线程外
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 5814
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
LOL游戏程序中对一些函数的Hook记录(Win10 x64)
weixin_33862993的博客
09-15 961
[PC Hunter Standard][League of Legends.exe-->Ring3 Hook]: 108Hooked Object Hook Address and Location Type Current Value Original Value[*]len(4) League of Legends.exe 0x0000000000AC6785->_ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值