反调试技术总结

最新推荐文章于 2021-03-24 23:55:00 发布
最新推荐文章于 2021-03-24 23:55:00 发布
阅读量131 收藏
点赞数
文章标签: 数据结构与算法 操作系统
原文链接:http://www.cnblogs.com/HsinTsao/p/7492806.html
版权

总结了一下网上的反调试技术,记录一下

一、使用WindowsAPI :
  1.IsDebuggerPresent
  2.CheckRemoteDebuggerPresent ->call NtInformationProcess( 2参数ProcessInformationClass)
  3.NTQueryObject(2参数ObjectInformationClass)检查调试对象
  4.NTQuerySystemInformation( 1参数SystemInformationClass)
  5.ZwSetInformationThread(2参数ThreadInformationClass)设置ThreadHideFromDebugger,使线程与调试器强制分离
二、手动检测数据结构
  1.IsDebuggerPresent 查看peb
  2.ProcessHeap  查看PEB结构的0x18处 ProcessHeap中的ForceFlags和Flags
  3.检测NTGlobalFlag
三、检测调试器:
  1.注册表项:
      SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug(32位系统)
      SOFTWARE\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\AeDebug(64位系统)
  2.窗口检测:
      FindWindow  EnumWindow
  3.进程检测
  4.检测父进程
  5.是否有SeDebugPrivilege权限
  6.检测时间差
      使用rdtsc指令
      使用QueryPerformanceCounter和GetTickCount
  7.断点检测
      软件断点
      硬件断点
  8.执行代码校验和检查
四、干扰调试器
  1.使用TLS回调
  2.使用异常
      int 3
      int 2d
      设TF单步异常
      汇编插入异常
五、加密,加花
 
 
详解见相关博客:http://bbs.pediy.com/thread-212371.htm
     http://blog.csdn.net/qq_32400847/article/details/52798050

转载于:https://www.cnblogs.com/HsinTsao/p/7492806.html

weixin_30448685
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
调试技术
qq_36963214的博客
11-05 751
Windows调试技术 Windows API调试 IsDebuggerPresent 用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下: MOV EAX,DWORD PTR FS:[0x30] MOVZX EAX,BYTE PTR DS:[EAX+0x2] RETN FS寄存器指向的是TEB(线程环境块),其数据结构如下: typedef struct _NT_TEB { NT_
调试】去除各种调试
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
种类齐全的调试调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
调试技术总结: 静态
fa1c4的blog
03-24 544
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试器检测法, 调试环境检测, 强制隔离调试器等. 破解方
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
调试技术总结-概览图
08-24
总结常见的大部分调试技术,不包括高级技术,大牛请绕道
调试技术总结,全面
12-03
调试技术总结 调试技术是指在软件或系统中嵌入的技术,以检测、规避或对抗调试工具的技术调试技术广泛应用于软件保护、DRM(数字版权管理)和调试中。下面是调试技术总结,包括原理和实现目录。 ...
阿布调试工具插件下载
最新发布
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
调试技术总结 +汇编指令速查 .docx
05-30
调试技术总结 +汇编指令速查 .docx
调试 —— 时间
LYSM
08-06 539
#include <windows.h> #include <iostream> #include <time.h> using namespace std; VOID isDebuger() { time_t Tbefore = time(0); time_t Tafter = time(0); while (1) { Tafter = time(0); if (Tafter - Tbefore &.
易语言软件调试大法——六种调试方法,总有一种适合“它”!
omg的另一个小窝....
09-15 4197
备注:写成子程序是为了方便在应用时插到代码段中,真正使用时请务必插入(最好分段插入)到程序代码中,否则几乎形同虚设。 . .版本 2 .子程序 第一法_内存分配调试, 逻辑型 .参数 最小值, 整数型 .参数 最大值, 整数型 .局部变量 min, 整数型 .局部变量 max, 整数型 GetProcessWorkingSetSize (GetCurrentProcess (),
javaScript调试技巧(禁用输出、断点、计算时间差
mumu42的博客
03-15 1484
一、函数重定向禁用console.log原本的功能:console.log('ff');var f=function(){};window['console']['log']=f;console.log('hh');输出结果:ff或者改变本来的输入值:var c=window['console']['log'];var f=function(){ c('error')};window['conso...
调试技巧总结-原理和实现
weixin_30535843的博客
06-07 409
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
常用的静态调试技术及其规避方法
weixin_30460489的博客
03-18 283
静态调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段   已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则不是   当进程被附加时,系统会将该值置为1 IsDebuggerPresent() ...
调试 - 调试对象
LYSM
07-14 533
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <W
第24章-OllyDbg调试之综合练习1
08-03
总结来说,本章内容主要涉及了如何使用OllyDbg分析加壳程序、识别异常行为、理解壳层技术调试技术,以及通过实际操作和调试来解决调试挑战。这些技巧对于深入理解和对抗恶意软件或保护自身代码免受逆向攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值