静态反调试技术

最新推荐文章于 2023-08-10 22:11:28 发布
最新推荐文章于 2023-08-10 22:11:28 发布
阅读量206 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/dliv3/p/6504311.html
版权

@author: dlive

0x01 PEB

PEB中与反调试技术密切相关的成员有如下几个

+0x002 BeingDebugged; UChar
+0x00c Ldr          ; Ptr32 _PEB_LDR_DATA
+0X018 ProcessHeap  ; Ptr32 Void
+0x068 NtGlobalFlag ; Uint4B

BeingDebugged成员是一个标志,用来表示进程是否处于被调试状态

Ldr, ProcessHeap, NtGloabFlag成员与被调试进程的堆内存特性相关

获取PEB结构体的地址

# 第一种方法
MOV EAX, DWORD PTR FS:[0x30]
# 第二种方法
MOV EAX, DWORD PTR FS:[0x18]
MOV EAX, DWORD PTR DS:[EAX+0x30]

BeingDebugged(+0x2)

通过IsDebuggerPresent() API可以获取PEB.BeingDebugged的值,若为1则表示进程处于被调试状态

破解方法:只要借助OD,将PEB.BeingDebugged的值修改为0即可

Ldr(+0xC)

调试进程时其堆内存就会出现一些特殊标识,表示它正处于被调试状态

其中最醒目的是,未使用的堆内存区域全部填充着0xFEEEFEEE,这证明正在调试进程

PEB.Ldr成员是一个指向_PEB_LDR_DATA结构体的指针,而_PEB_LDR_DATA结构体恰好是在堆内存区域中创建的,所以扫描该区域即可轻松查找是否存在0xFEEEFEEE区域

破解方法:只要将填充着0xFEEEFEEE的区域全部覆写为NULL即可

注意:该方法只适用于WindowsXP,而在Windows Vista以后的系统中则无法使用。另外,利用附加功能将运行中的进程附加到调试器时,堆内存中并不出现上述标识。

ProcessHeap(+0x18)

PEB.ProcessHeap成员是指向HEAP结构体的指针

GetProcessHeap() API可以获取PEB.ProcessHeap结构体的地址

HEAP结构体中Flags(+0xC)和ForceFlags(+0x10)和反调试相关,进程正常运行时,Heap.Flags的值为0x2,Heap.ForceFlags的值为0x0,进程处于调试状态时这些值会改变。

破解方法:修改HEAP.Flags =2, HEAP.ForceFlags=0

注意:该方法只适用于WindowsXP,而在Windows Vista以后的系统中则无法使用。另外,利用附加功能将运行中的进程附加到调试器时,也不会有上述特征。

NtGlobalFlag(0x68)

调试进程时,PEB.NtGlobalFlag会被设置为0x70

注意:利用附加功能将运行中的进程附加到调试器时,不会有上述特征。

0x02 NtQueryInformationProcess API

https://msdn.microsoft.com/en-us/library/ms684280(VS.85).aspx

NTSTATUS WINAPI NtQueryInformationProcess(
  _In_      HANDLE           ProcessHandle,
  _In_      PROCESSINFOCLASS ProcessInformationClass,
  _Out_     PVOID            ProcessInformation,
  _In_      ULONG            ProcessInformationLength,
  _Out_opt_ PULONG           ReturnLength
);

为该函数第二个参数ProcessInformationClass设定特定的值,函数执行结果会保存在第三个参数ProcessInformation中

第二个参数为枚举类型,其中与反调试相关的参数有ProcessDebugPort(0x07),ProcessDebugObject-Handle(0x1E),ProcessDebugFlags(0x1F)

ProcessDebugPort(0x7)

非调试状态下debugport == 0

// ProcessDebugPort (0x7)
    DWORD dwDebugPort = 0;
    pNtQueryInformationProcess(GetCurrentProcess(),
                               ProcessDebugPort,
                               &dwDebugPort,
                               sizeof(dwDebugPort),
                               NULL);
    printf("NtQueryInformationProcess(ProcessDebugPort) = 0x%X\n", dwDebugPort);
    if( dwDebugPort != 0x0  )  printf("  => Debugging!!!\n\n");
    else                       printf("  => Not debugging...\n\n");

checkRemoteDebuggerPresent()API可以用来检测进程是否处于被调试状态,与IsDebuggerPresent API不同的是,它不仅可以检测当前进程是否处于被调试状态,也可检测其他进程。该函数的实现中使用了NtQueryInformationProcess(ProcessDebugPort) API

ProcessDebugObjectHandle(0x1E)

// ProcessDebugObjectHandle (0x1E)
    HANDLE hDebugObject = NULL;
    pNtQueryInformationProcess(GetCurrentProcess(),
                               ProcessDebugObjectHandle,
                               &hDebugObject,
                               sizeof(hDebugObject),
                               NULL);
    printf("NtQueryInformationProcess(ProcessDebugObjectHandle) = 0x%X\n", hDebugObject);
    if( hDebugObject != 0x0  )  printf("  => Debugging!!!\n\n");
    else                        printf("  => Not debugging...\n\n");

第二个参数为ProcessDebugObjectHandle时,第三个参数返回为被调试对象句柄,当返回NULL时说明进程处于非调试状态

ProcessDebugFlags(0x1F)

    // ProcessDebugFlags (0x1F)
    BOOL bDebugFlag = TRUE;
    pNtQueryInformationProcess(GetCurrentProcess(),
                               ProcessDebugFlags,
                               &bDebugFlag,
                               sizeof(bDebugFlag),
                               NULL);
    printf("NtQueryInformationProcess(ProcessDebugFlags) = 0x%X\n", bDebugFlag);
    if( bDebugFlag == 0x0  )  printf("  => Debugging!!!\n\n");
    else                      printf("  => Not debugging...\n\n");

ProcessDebugFlags参数用于获取调试标识,DebugFlag的值若为0则处于调试状态,若为1则处于非调试状态

破解方法

patch函数/修改函数返回值/API Hook

OD中advanced olly提供了对该API Hook的功能

0x03 NtQuerySytemInformation API

检测系统是否以调试模式运行(WinDbg调试需要)

之前进程隐藏的章节中使用过ZwQuerySytemInformation API来获取进程列表,用户层Zw和Nt没什么区别,所以这里使用Zw也是可以的

NTSTATUS WINAPI NtQuerySystemInformation(
  _In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,
  _Inout_   PVOID                    SystemInformation,
  _In_      ULONG                    SystemInformationLength,
  _Out_opt_ PULONG                   ReturnLength
);

SystemInformationClass参数中指定需要的系统信息类型,将某结构体的地址传递给SystemInformation参数,API结束时,该结构体中就填充着相关的信息

SystemKernelDebuggerInformation(0x23)

NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)  
                                GetProcAddress(GetModuleHandle(L"ntdll"), 
                                               "NtQuerySystemInformation");

    ULONG SystemKernelDebuggerInformation = 0x23;
    ULONG ulReturnedLength = 0;
    SYSTEM_KERNEL_DEBUGGER_INFORMATION DebuggerInfo = {0,};

    NtQuerySystemInformation(SystemKernelDebuggerInformation, 
                             (PVOID) &DebuggerInfo, 
                             sizeof(DebuggerInfo),      // 2 bytes
                             &ulReturnedLength);

    printf("NtQuerySystemInformation(SystemKernelDebuggerInformation) = 0x%X 0x%X\n", 
           DebuggerInfo.DebuggerEnabled, DebuggerInfo.DebuggerNotPresent);
    if( DebuggerInfo.DebuggerEnabled )  printf("  => Debugging!!!\n\n");
    else                                printf("  => Not debugging...\n\n");

DebuggerInfo.DebuggerEnabled==1时为调试状态

破解方法:Win XP: 编辑boot.ini 删除/debugport=com1 /baudrate=115200 /Debug

​ Win7: cmd执行 bcdedit /debug off

0x04 NtQueryObject API

系统中某个调试器调试进程时,会创建一个调试对象类型的内核对象。检测该对象是否存在即可判断是否有进程正在被调试

ntdll!NtQueryObject可获得系统各种内核对象信息

NTSTATUS NtQueryObject(
  _In_opt_  HANDLE                   Handle,
  _In_      OBJECT_INFORMATION_CLASS ObjectInformationClass,
  _Out_opt_ PVOID                    ObjectInformation,
  _In_      ULONG                    ObjectInformationLength,
  _Out_opt_ PULONG                   ReturnLength
);

该API与上面讲过的API使用方法类似

typedef enum _OBJECT_INFORMATION_CLASS { 
  ObjectBasicInformation,
  ObjectTypeInformation,
  ObjectNameInformation,
  ObjectAllInformation, //3
  ObjectHandleInformation
} OBJECT_INFORMATION_CLASS;

ObjectAllInformation(0x3)

使用ObjectAllInformation可获得系统所有对象信息,然后从中检测是否存在调试对象

0x05 ZwSetInformationThread API

强制分离被调试者与调试者的技术,使用该API被调试者可将自身从调试器中分离出来(使调试进程终止运行,同时终止自身进程),该API不会对正常运行的程序(非调试运行)产生任何影响。

NTSTATUS ZwSetInformationThread(
        HANDLE ThreadHandle,
        THREAD_INFORMATION_CLASS ThreadInformationClass,
        PVOID ThreadInformation,
        ULONG ThreadInformationLength
);

ThreadHideFromDebugger(0x11)

API第二个参数设置为ThreadHideFromDebugger即可达到分离调试进程的目的

void DetachDebugger()
{
    typedef enum _THREAD_INFORMATION_CLASS {
        ThreadBasicInformation,
        ThreadTimes,
        ThreadPriority,
        ThreadBasePriority,
        ThreadAffinityMask,
        ThreadImpersonationToken,
        ThreadDescriptorTableEntry,
        ThreadEnableAlignmentFaultFixup,
        ThreadEventPair,
        ThreadQuerySetWin32StartAddress,
        ThreadZeroTlsCell,
        ThreadPerformanceCount,
        ThreadAmILastThread,
        ThreadIdealProcessor,
        ThreadPriorityBoost,
        ThreadSetTlsArrayAddress,
        ThreadIsIoPending,
        ThreadHideFromDebugger           // 17 (0x11)
    } THREAD_INFORMATION_CLASS, *PTHREAD_INFORMATION_CLASS;

    typedef NTSTATUS (WINAPI* ZWSETINFORMATIONTHREAD)(
        HANDLE ThreadHandle,
        THREAD_INFORMATION_CLASS ThreadInformationClass,
        PVOID ThreadInformation,
        ULONG ThreadInformationLength
    );

    ZWSETINFORMATIONTHREAD pZwSetInformationThread = NULL;
    pZwSetInformationThread = (ZWSETINFORMATIONTHREAD)
                              GetProcAddress(GetModuleHandle(L"ntdll.dll"), 
                                             "ZwSetInformationThread");

    pZwSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0);

    printf("ZwSetInformationThread() -> Debugger detached!!!\n\n");
}

0x06 其他

检测当前运行环境是否处于一个逆向分析专用环境/系统

  1. 检测OD窗口 => FindWindow()
  2. 检测OD进程 => CreateToolhelp32Snapshot()
  3. 检查计算机名是否为TEST, ANALYSIS => GetComputerName()
  4. 检测程序运行路径是否存在TEST, SAMPLE => GetCommandLine()
  5. 检测是否为虚拟机环境 => VMWareService.exe , VMWareTray.exe, VMWareUser.exe

转载于:https://www.cnblogs.com/dliv3/p/6504311.html

weixin_30242907
关注
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件的占用,具有学习和商业价值(By超级用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄来获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状态。可能的错误状态码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这种方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6220
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
C/C++ 获取线程入口地址模块等
CSDN
07-16 8420
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
NtQueryObject 函数
93Storm
04-25 4171
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
PP保护3:HideFromDebugger
netword12345的专栏
03-04 1229
PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD. 遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回
调试手段 源码加注释
05-05
下面我们将详细探讨一些常见的调试技术: 1. **检查调试器存在**:这是最基础的调试手段,程序会检查自身是否正在被调试。例如,通过读取PE头中的`IMAGE_DEBUG_DIRECTORY`结构来查找调试信息,或者检查`PEB...
Android中的调试代码
05-29
在Android应用开发中,调试技术是保护应用安全的重要手段之一。它主要用于防止恶意的逆向工程分析,保护代码不被篡改或盗用。本文将深入探讨Android应用中的调试策略及其实施方法。 首先,我们需要理解调试的...
各种调试技术原理与实例 VC版
10-05
汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-vc.html 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程...
易语言源码易语言调试模块源码.rar
02-18
在软件开发和保护中,调试技术是非常重要的一环,它的主要目的是防止恶意用户通过调试工具分析和篡改程序的行为。 调试模块通常包含以下几方面的知识点: 1. **调试器检测**:调试技术首先涉及到的是如何...
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
列举进程及进程打开的文件
01-04
DuplicateHandle NtQueryObject NtQuerySystemInformation EnumProcesses 知道的就不多说了,不知道的就不需说了
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2152
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
180311 逆向-调试技术(4)SystemKernelDebuggerInformation
whklhhhh的博客
03-23 1031
1625-5 王子昂 总结《2018年3月11日》 【连续第526天总结】 A. 调试技术(4) B. SystemKernelDebuggerInformation NativeAPI中还有一个函数ZwQuerySystemInformation 当SystemInformation = SystemKernelDebuggerInformation的时候可以判断是否有系统调...
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4754
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
逆向学习笔记(3)——静态调试技术
谈成(C/C++)
04-12 414
1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1)BeingDebugged(+0x002) 当进程处于调试状态时,该标识为1,之为0。 对应的API是IsDebuggerPresent(),用于获取当前进程的调试状态
调试技术(一)--静态调试
weixin_30871293的博客
03-13 241
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
利用NtDuplicateObject进行Dump
最新发布
二狗的博客
08-10 521
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3319
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
调试技术详解:检测与规避策略
"这篇资源是关于调试技术的总结,主要介绍了恶意代码如何使用调试手段来避免被调试器分析,以及如何检测Windows调试器。文章涵盖了多种调试技术,包括利用Windows API函数如IsDebuggerPresent、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值