反调试技术(一)--静态反调试

最新推荐文章于 2023-06-21 14:51:46 发布
最新推荐文章于 2023-06-21 14:51:46 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: c/c++ windows编程 文章标签: windows 反调试 调试 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34260423/article/details/61924016
版权

为了保护自己的程序不被破译等,很多软件使用了反调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--反调试破解技术的出现。反调试技术分为静态反调试技术和动态反调试技术。相比来说静态反调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态反调试技术,以及对应的破解之道。

1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例)
+0x002 BeingDebugged : UChar
+0x00c Ldr                      :  _PEB_LDR_DATA
+0x018 ProcessHeap       : Ptr32 Void
+0x068 NtGlobalFlag       : Uint4B

BeingDebugged成员在被调试状态会显示1,正常情况下为0。解决方法:更改该值为0。
Ldr:进程在被调试状态时堆内存区域会出现一些特殊的标志,未使用的堆内存区域全部填充着0xFEEEFEEE,而Ldr正好在堆内存中被创建(只在XP系统中有,Vista之后的系统没有这种标志)。解决方法:将该区域覆盖为NULL即可。
ProcessHeap:Proce
最低0.47元/天 解锁文章
ToringZZZ
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态调试技术
CSDN_2023的博客
03-12 3797
文章目录声明静态调试目的注意PEBhttps://blog.csdn.net/CSNN2019/article/details/113113347BeingDebugged(+0x2)破解之法:Ldr(0xc)破解之法:ProcessHeap(+0x18)Flags(0xC)&Force Flags(+0x10)破解之法:NtGlobalFlag(+0x68)破解之法调试程序代码调试技术系列: 声明 静态调试目的 被调试的进程用静态调试技术来侦测自身是否处于被调试状态,若侦测到处于被调试的状
静态调试与动态调试
AkeyMaker的博客
11-15 2266
静态调试特点:在调试开始阻拦调试静态调试特点:调试过程中阻拦调试者,在调试中频繁触发
逆向学习笔记(3)——静态调试技术
谈成(C/C++)
04-12 402
1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1)BeingDebugged(+0x002) 当进程处于调试状态时,该标识为1,之为0。 对应的API是IsDebuggerPresent(),用于获取当前进程的调试状态
易语言源码易语言调试模块源码.rar
02-18
在软件开发和保护中,调试技术是非常重要的一环,它的主要目的是防止恶意用户通过调试工具分析和篡改程序的行为。 调试模块通常包含以下几方面的知识点: 1. **调试检测**:调试技术首先涉及到的是如何...
调试手段 源码加注释
05-05
在IT安全领域,尤其是软件开发和逆向工程中,“调试”是一种常见的技术,用于防止恶意用户或黑客通过调试工具分析程序的行为。本压缩包文件“ANTIDBG”可能包含了多种调试策略的源码及注释,这些策略通常被应用...
各种调试技术原理与实例 VC版
10-05
汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-vc.html 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程...
易语言强力调试模块源码.zip易语言项目例子源码下载
03-24
"易语言强力调试模块源码"是一个专为易语言设计的调试工具,它主要用于防止他人通过调试工具分析和篡改程序的行为。这种模块在保护软件安全、防止逆向工程方面具有重要作用,尤其对于商业软件开发者来说,是提升...
Java编译工具jd-gui-windows-1.6.3
08-08
Java编译工具jd-gui是一款广泛应用于Java开发者和逆向工程领域的实用程序,它能够帮助用户查看并理解Java字节码(.class文件)的源代码,即使原始的源代码不可用。这款工具在Windows平台上运行良好,版本号为1.6.3...
Process Environment Block(PEB)
寻梦&之璐
01-25 5304
简介 PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
常见静态调试技术总结
lonmar的博客
06-24 1068
静态调试技术 PEB:BeingDebugged/Ldr /ProcessHeap /NtGlobalFlag NtQueryInformationProcess:ProcessDebugPort/ProcessDebugObjectHandle/ProcessDebugFlags TLS ETC
<逆向工程核心原理> 静态调试技术总结
zhangmiaoping23的专栏
03-23 2608
1.PEB #include "stdio.h" #include "windows.h" #include "tchar.h" void PEB() { HMODULE hMod = NULL; FARPROC pProc = NULL; LPBYTE pTEB = NULL; LPBYTE pPEB = NULL; BOOL bIsDebugging
调试技术总结: 静态
fa1c4的blog
03-24 552
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试检测法, 调试环境检测, 强制隔离调试器等. 破解方
逆向入门-调试
AppWhite_Star的博客
07-30 2194
逆向基础-调试专题
处理veh调试检测_越狱检测抖音逻辑???
weixin_33066433的博客
01-08 1986
对于应用安全甲方一般会在这三个方面做防御.按逻辑分类的话应该应该分为这几类, 但如果从实现原理的话, 应该分为两类, 用API实现的 和 不用API实现的(这说的不用 API 实现, 不是指换成 inine 函数就行) . 首先使用 API 实现基本统统沦陷. 直接通过指令实现的机制还有一丝存活的可能. 逻辑的话应该分为, 调试, 注入, 越狱检测, hook 检测.arm64 相关...
调试技术总结(看雪)
eli的博客
12-07 2797
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调试技术
最新发布
nareku的博客
06-21 818
思来想去还是先写调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1168
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
调试技术详解:检测与规避策略
"这篇资源是关于调试技术的总结,主要介绍了恶意代码如何使用调试手段来避免被...在实际操作中,应结合多种技术和方法,包括动态分析、静态分析以及逆向工程,来绕过或解除调试保护,揭示恶意代码的真实行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值