反调试功能<IsDebuggerPresent>

最新推荐文章于 2023-10-29 18:28:36 发布
最新推荐文章于 2023-10-29 18:28:36 发布
阅读量194 收藏
点赞数
原文链接:http://www.cnblogs.com/hgy413/archive/2012/09/19/3693454.html
版权

依赖于API的反调试

这个函数会看PEB中的BeingDebugged是否为0,不为0就表示无调试器,否则表示有调试器.注意的是以前代码都会对这个函数首字节是否为0x64作判断,但在win7下,需要对应kernelBase中的IsDebuggerPresent,而不是kernel32中的IsDebuggerPresent

//使用IsDebuggerPresent函数检测
DbgToolType AntiDebugged::AD_IsDebuggerPresent()
{
	HMODULE hKernelBaseDll = ::LoadLibrary(TEXT("kernelBase.dll"));
	if (NULL != hKernelBaseDll)
	{
		// 不要使用kernel32,kernel32中IsDebuggerPresent第一条指令并非0x64
		FARPROC pIsDebuggerPresent = ::GetProcAddress(hKernelBaseDll, "IsDebuggerPresent");
		if (!pIsDebuggerPresent)
		{
			::FreeLibrary(hKernelBaseDll);
			return DGBTOOL_NO;
		}


		if ((*(BYTE *)pIsDebuggerPresent == 0xCC)
			||(*(BYTE *)pIsDebuggerPresent != 0x64)
			|| pIsDebuggerPresent()
			)
		{
			::FreeLibrary(hKernelBaseDll);
			return DBGTOOL_CUSTOM;
		}
		else
		{
			::FreeLibrary(hKernelBaseDll);
			return DGBTOOL_NO;
		}

	}

	return DGBTOOL_NO;
}


这个过掉的方式比较简单:只需要把PEB中的BeingDebugged置为0.

比如直接在OD命令中输入:d fs:[30]+2把它改为1即可过掉:

 

转载于:https://www.cnblogs.com/hgy413/archive/2012/09/19/3693454.html

1361976860
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言源码易语言调试模块源码.rar
02-18
8. **硬件级调试**:除了软件层面的调试,还有一些更高级的技术涉及到硬件级别的检测,如利用CPU的调试扩展功能来检测调试器。 了解并掌握这些调试技术,对于软件开发者来说,既可以增强自己程序的安全性,也...
易语言SEH调试
07-21
在易语言中,SEH(结构化异常处理)调试技术是一种防止恶意调试和分析程序的方法。SEH是Windows操作系统中处理异常的一种机制,而调试则是通过检测调试器的存在来保护程序不被逆向工程分析。 SEH调试的基本...
调试学习——IsDebuggerPresent
weixin_41693985的博客
05-31 1242
IsDebuggerPresent ***IsDebuggerPresent***的作用是检测自身进程是否处于调试状态,如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 写了个小程序试验绕过: 绕过目前我自己有两种思路: 1.在判断处做改变 2.在 IsDebuggerPresent做改变 代码如下: if (IsDebuggerPresent()) { MessageBox(TEXT("有调试器在调试!")); } else { MessageBox(T
windbg script ---- 禁用IsDebuggerPresent
weixin_30484739的博客
07-08 61
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32 转载于:https://www.cnblogs.com/hgy413/p/3693400.html...
5.windbg script-禁用IsDebuggerPresent(调试 kernel32!SetUnhandledExceptionFilter)
hgy413的专栏
07-08 1812
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32
关于IsDebuggerPresent
天宇遊龍
04-09 668
转至:http://cxc200026.blog.163.com/blog/static/3426867200841764521515/ IsDebuggerPresent函数可以用来检测本进程是否处于被调试状态,当然,这种方法的实用性不大。 此函数在winbase.h中声明如下:WINBASEAPI BOOL WINAPI IsDebuggerPresent(void);
调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 632
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
TLS调试VC6
04-01
在TLS调试技术中,开发者会在TLS回调函数中加入检查代码,如检测调试标志(IsDebuggerPresent API),检查异常处理链(CheckRemoteDebuggerPresent API),或者查找特定的内存模式(如调试器通常会插入的断点指令...
易语言调试暂停模块源码
06-02
下面将详细阐述调试技术以及易语言中实现这一功能的相关知识点。 调试技术主要是通过检测调试器的存在来防止程序被调试。当一个程序被调试时,它通常会表现出一些异常行为,如执行速度变慢、内存访问模式变化等...
易语言六种调试方法源码-易语言
06-13
在易语言中,调试技术是一种防止恶意用户通过调试工具分析和篡改程序行为的安全措施。这里我们将深入探讨易语言中的六种调试方法及其源码实现。 1. **检查调试器存在**: 这种方法通常是通过检测某些调试器...
调试技术- IsDebuggerPresent原理 与 调试
qq_51600802的博客
10-29 339
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到调试的作用。
15.ring3-调试小结
hgy413的专栏
10-13 2735
1.IsDebuggerPresent 检测是否在函数头有普通断点,或是否被挂钩 2.CheckRemoteDebuggerPresent(ProcessDebugPort) 3.NtGlobalFlags,测试发现直接运行工程会提示有调试器,windbg初始附加运行提示有调试器,但windbg中间附加不会提示有调试器,测试失败,但可用. 0:000> dt _PEB -y NtGlobal
红蓝对抗----Ring3到Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 957
这篇文章我们将研究CreateFile是如何从Ring3到Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
调试技术
最新发布
qq_67181251的博客
10-29 97
BeingDebugged属性位于PEB结构的第二个字节位置处。
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 685
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
IsDebuggerPresent()
weixin_30505751的博客
09-28 332
IsDebuggerPresent()该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 BOOL APIENTRY IsDebuggerPresent(VOID) { return NtCurrentPeb()->BeingDebugged; } 在x86下用win...
调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 325
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
Windows下调试技术汇总
03-03 1732
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
调试技术详解:检测与规避策略
为对抗这些调试技术,分析人员可能需要采用各种策略,比如在分析过程中修改恶意代码以禁用其调试功能,或者通过挂钩API函数(hooking)来拦截和篡改这些检查。更高级的技术如使用rootkit可以使这些检测变得更为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值