绕过系统调试器检测

最新推荐文章于 2023-12-27 20:31:01 发布
最新推荐文章于 2023-12-27 20:31:01 发布
阅读量906 收藏 1
点赞数
分类专栏: 日志 文章标签: 调试 windbg 调试器 检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010350434/article/details/83150512
版权

原因

有些时候,进程检测到有调试器时,会把异常直接交给调试器,这样,我们就调试不了我们的异常抓取逻辑。
(当然应该也有进程故意针对有调试器情况下做特殊处理的例子,同理是可以绕过去的)

步骤

  1. 打开windbg,打开exe和源代码,加载符号
  2. 下断点
    bp kernel32!UnhandledExceptionFilter

注意,UnhandledExceptionFilter的位置每个版本的操作系统都不一样,有的操作系统是在kernel32内,有的是kernelbase内,如果下断点之后无法命中,按以下步骤检查
a.检查windbg event filters设置,具体的异常事件(这里是access violation)对应的continue是否设置为not handled
b.观察UnhandledExceptionFilter代码,如果只是一个stub(通常是少数几行汇编,最后一条jmp指令),则需要在正确的(即jmp目标地址)UnhandledExceptionFilter下断点

  1. 继续跑进程

  2. 发现触发了 kernel32!UnhandledExceptionFilter,这在预期之中

  3. 此时按F10,直至运行了 call kernel32!BasepIsDebugPortPresent

  4. 将 寄存器 eax 改为 0 (eax 常常用来做返回值的寄存,此处可理解为 eax 为 该函数的返回值)

  5. 继续运行,进程便认为没调试器

上面 操作5 的返回值说明了当前有无连接调试器,我们将它的值由 1 改为了 0,能让kernel32误以为代码没有调试器

北魏的小Eif
关注
专栏目录
检测调试器(过StrongOD)
井底之蛙
08-17 5866
放码(⊙_⊙)~~ 方法一: //GetCursorPos,WindowFromPoint POINT point; if (GetCursorPos(&point)) { char buf[256]; HWND hwnd = WindowFromPoint(po
DELPHI调试程序出现“探测到调试器 - 请关闭后重启”
lopper的专栏
08-02 4251
<br />今天因为接口单位更新了DLL,所以需要修改程序。<br />更新了DLL之后,用DELPHI进行调试,一打开提示“探测到调试器   -  请关闭后重启, Windows NT用户请注意:已安装了WinIce/SoftICE服务,这意味这你正在运行调试器”。网上一查都是关于软件脱壳的问题。<br /> <br />不过终于找到两篇有用的信息。<br />A)<br /> <br />1、你机器里运行有WICE或SoftICE调试器?如果有,先关掉他们再试试。<br />2、如果没有运行有WICE或
探测调试器
weixin_34151004的博客
02-27 94
我怎么确定是不是运行在调试器下呢? 下面的代码展示最佳的判断方式 #include <assert.h> #include <stdbool.h> #include <sys/types.h> #include <unistd.h> #include <sys/sysctl.h> st...
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
ce6.4过检测
10-10
.ce过检测。强大的内存修改工具
游戏反调试技巧:追踪与绕过调试器检测
调试器检测技术概述 ## 1.1 调试器检测的原理和方法 调试器检测是指通过一系列技术手段来判断当前程序是否被调试器所监控和调试。常见的调试器检测原理包括检测调试器进程检测调试器相关进程的隐藏、检测内存...
eac 反调试_自己动手制作一个过保护调试器
weixin_39847034的博客
12-19 1803
原标题:自己动手制作一个过保护调试器一、起因本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数,所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到 ETW(Event Tracing for Windows) hook...
易语言程序绕过检测启动源码-易语言
06-13
在易语言中实现程序绕过检测启动,主要是为了避开各种安全机制,比如防止被调试器跟踪、避免被杀毒软件查杀或阻止非法篡改。这种技术在合法软件开发中并不常见,但在逆向工程和恶意软件编写中经常被用到。 首先,...
OD插件-过GetProcessTimes检测
03-16
标题中的“OD插件-过GetProcessTimes检测”指的是在逆向工程领域中,使用OllyDbg(OD)插件来绕过一种特定的反调试技术,即通过检查`GetProcessTimes`函数来判断是否正在被调试。`GetProcessTimes`是Windows API中的...
【移动安全基础篇】——27、常用调试检测方法与过检测方法
Fly_鹏程万里
01-19 594
1.  调试检测调试加壳软件的时候,总是会突然出现调试中断,或者是程序的异常退出,但是一旦不处于调试的时候又能够正常启动,这些都是因为调试被 app 检测到的原因。2.  基本的调试监控 常用的监控手段: 1)  检测用户组 cmdline 中是否存在调试进程(gdb、gdbserver、android_server、xposed 等)修改调试器的名称 2)  检测线程状态,查看是否存在被调试...
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
易语言程序绕过检测启动源码
06-03
易语言程序绕过检测启动源码。@易语言源码分享站。
strongOD隐藏OD OllyDBG的插件
10-01
比HideOD更厉害的隐藏OD的工具 详细介绍:[2008.12.25 v0.2.1.235] 1,修复一个利用PAGE_GUARD的anti 2,修复Skip Some Expection选上的时候无法对内存段下F2断点 3,由于PAGE_GUARD的特殊性,无法完美处理od用PAGE_GUARD下断点的BUG,建议尽量不要对内存段下F2断点 4,加强进程保护功能,防止ring3下复制句柄打开od进程 5,修复驱动多处小bug 6,更新版本号 [2008.11.06 v0.20] 1,超长异常处理链导致OD打开太慢的BUG [2008.11.03 v0.19] 1,增加一个快捷键,cpudump 窗口 alt+左键双击 2,修复隐藏OD窗口后输入法有可能无法使用的BUG 3,修复了一个潜在的蓝屏BUG [2008.09.15 v0.18] 1,修复了Ctrl+G计算rva,offset时的一个小BUG 2,当程序不是运行的状态时,Detach前会先运行程序 3,修复原版OD的数据区复制BUG 4,修复od运行后CPU占用率很高的BUG 5,可以设置是否跳过一些异常处理
过反调试
weixin_30684743的博客
11-30 482
重所周知,有破解就必有防破解,二者本为一体 破解技术就不要我多介绍了,下面我来介绍反调试技术 也就是所谓的防破解技术 反调试技术可以简单通俗的理解为:防止OD分析软件的技术,也就是反调试技术 那么反调试技术又有几种呢? 下面我介绍几种常用反调试技术 首先声明,下面有一部分内容来源百度,若有喷子觉得恶心,请自觉删除 1. 最常用的便是调用windows API 那么 win...
53.网游逆向分析与插件开发-游戏反调试功能的实现-通过内核信息检测调试器
最新发布
计算机王的博客
12-27 1465
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1891
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
调试器检测教程
qq_35129925的博客
03-28 1270
#pragma warning(disable : 4996) #include &amp;lt;Windows.h&amp;gt; #include &amp;lt;Psapi.h&amp;gt; #include using namespace std; typedef int PROCESSINFOCLASS ; typedef NTSTATUS(WINAPI *NtQueryInformationProcessPtr)...
安卓源码+内核修改编译(修改内核调试标志绕过调试)
Fly20141201. 的专栏
02-17 6690
标 题: 【分享】安卓源码+内核修改编译(修改内核调试标志绕过调试) 作 者: koflfy 时 间: 2016-10-26,18:05:19 链 接: http://bbs.pediy.com/showthread.php?t=213481 历经两天时间,终于完整的编译完安卓操作系统源码+内核,并修改了内核的几个调试标志以达到绕过一些反调试的目的。 在此感谢同学辉哥以及群友f8的
调试技术详解:检测与规避策略
除了直接调用API函数外,恶意代码还可能通过检查内存结构和系统痕迹来检测调试器。例如,手动检测调试器的人工痕迹可能涉及到查找调试器留下的特定内存模式或异常处理机制。此外,系统痕迹检测可能包括检查注册表项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值