如何防范动态调试(Anti-Debug)(SoftICE篇)

最新推荐文章于 2021-03-09 11:34:21 发布
最新推荐文章于 2021-03-09 11:34:21 发布
阅读量243 收藏
点赞数

Windows NT/2000/XP系统:

1.判断NTICE服务是否运行
在Windows NT/2000/XP系统中,SoftICE是一个内核设备驱动类型的服务,服务名为NTICE,因此可通过判断NTICE服务是否运行来检测SoftICE.

BOOL SoftICEIsLoad()
{
 SERVICE_STATUS ssStatus;
 // 打开服务控制管理器
 SH_HANDLE shServiceManager = OpenSCManager(NULL, SERVICES_ACTIVE_DATABASE, SC_MANAGER_ALL_ACCESS);
 if(NULL == shServiceManager)
  return FALSE;
 // 打开NTICE服务
 SC_HANDLE shMyService = OpenService(shServiceManager, "NTICE", SERVICE_ALL_ACCESS);
 if(QueryServiceStatus(shMyService, &ssStatus)) == 0)
 {
  CloseServiceHandle(shMyService);
  return FALSE;
 }
 // NTICE服务正在运行
 if(SERVICE_RUNNING == ssStatus.dwCurrentState)
 {
  CloseServiceHandle(shMyService);
  return TRUE;
 }
 return FALSE;
}

2.利用 UnhandledExceptionFilter 检测
如果SoftICE加载,SoftICE会在kernel32.dll的UnhandledExceptionFilter函数第一字节外设一个INT 3指令,即用"CC"代替原机器码"55".因此就可根据这个"CC"机器码,判断SoftICE是否加载.

BOOL SoftICEIsLoad()
{
 FARPROC Uadder;
 BYTE Mark = 0;
 (FARPROC&)Uaddr = GetProcAddress(GetModuleHandle("kernel32.dll"), "UnhandledExceptionFilter");
 Mark = *((BYTE)Uaddr);
 // 取UnhandledExceptionFilter函数的第一字节
 if(0xCC == Mark) // 如是则SoftICE已加载
  return TRUE;
 
 return FALSE;
}

3.检测断点
由于SoftICE有针对API设置断点的强大功能,它工作时是在函数前插入INT 3指令(机器码CC),因此检测函数首地址机器码是否为CC就可以判断是否被SofeICE设置断点跟踪.

#include <windows.h>

BOOL IsBPX(void* address);

int WINAPI WinMain(HINSTANCE hInstanec, HINSTANCE hPrevInstance, PSTR szCmdLine, int iCmdShow)
{
 void* addr;
 addr=MessageBox;
 if(IsBPX(addr))
 {
  MessageBox(NULL,"don't debug me.","help!",MB_HELP);
 }else{
  MessageBox(NULL,"no one.","go go go!",MB_OK);
 }
 
 return 0;
}

BOOL IsBPX(void* address)
{
 _asm
 {
  MOV ESI , address // 被监视函数的地址
  MOV AL  , [ESI]  // 取该函数的机器码
  CMP AL  , 0xCC  // 检测机器码是否为0xCC
  JE  SoftICELoad     // 如果是则函数被跟踪
 }
 return FALSE;
SoftICELoad:
 return TRUE;
}

Windows 9x系统:
1.检测INT 1和INT 3服务的差
在Windows 9x系统中,SoftICE驻留后修改INT 1和INT 3中断的入口,指向它自己的处理程序,其中INT 1和INT 3服务的差总是为1EH利用这点就可检测SoftICE.
这种方法要结合SEH来实现,否则在Windows 2000/XP系统中会产生断点异常.

BOOL SoftICEIsLoad()
{
 char pIDT[6]={0};// IDT保存在这
 try
 {
  _asm
  {
   sidt fword ptr pIDT // 取IDT内容
   mov eax,dword ptr[pIDT+2] // 获取IDT表的基地址
   add eax,8
   mov ebx,[eax] // 取INT 1的低位偏移
   add eax,16
   mov eax,[eax] // 取INT 3的低位偏移
   and eax,0ffffh
   and ebx,0ffffh
   sub eax,ebx  // 计算低位偏移这差
   cmp eax,0xle 如果SoftICE驻留内存,则差为0xle
   jz SoftICELoad
  }
 }
 catch(...)
 {
  return FALSE
 }
 return FALSE;
SoftICELoad:
 return TRUE; 
}

2.检测SoftICE VxD ID

BOOL SoftICEIsLoad()
{
 _asm
 {
  xor     di,di
   mov     es,di
   mov     ax, 1684h      
    mov     bx, 0202h       ; VxD ID of winice
    int     2Fh
    mov     ax, es          ; ES:DI -> VxD API entry point
    add     ax, di
    test    ax,ax
    jnz     SoftICELoad
  }
 return FALSE;
SoftICELoad:
 return TRUE:
}

 

weixin_33753003
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于动态调试的一些事情(一)
Magic1an的博客
11-06 1908
0x0 前言动态调试是指用户跟踪软件的运行,从而协助自己解决软件的问题。想成为一个优秀的开发者或逆向工程师,动态调试都是必不可少的技术之一。接下来我们就由浅及深慢慢道来。0x1 涉及工具codeblocks ida 注:截图中工具为codeblcoks 13.12,ida 7.00x2 codeblocks对于刚刚接触编程的人来说,codeblcoks的调试功能可能比较陌生,但是当代码的复杂度提
安全检测风险
Errol's Blog
07-26 2598
允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用,用户即可通过adbbackup和adbrestore来进行对应用数据的备份和恢复。第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能能够被备份或恢复。在app上的具体表现是比如游戏登陆时调用微信的Activity登陆组件,微信的Activity登陆组件就是可被导出的。URL地址,进行删除;....................
冰点密码破解 — 强悍的调试SOFTICE
FreeXploiT
06-23 1万+
 标 题: 【原创】冰点密码破解 — 强悍的调试SOFTICE作 者: figo时 间: 2007-06-11,15:17链 接: http://bbs.pediy.com/showthread.php?t=46153【文章标题】: 冰点密码破解【文章作者】: figo【作者邮箱】: yangtengfei@56.com【作者QQ号】: 382174647【软件名称】: 冰点6.00.22
Android 反动态调试
05-07
Android 检查动态调试 最近项目中,三方安全报告中一直存在动态调试检测的高危漏洞。经过多次探索研究,参考了网上不少示例,集大家所成,研究在Android studio 3.0以上,可以使用的示例代码。
Android应用漏洞及常见解决方案
博主逸尘
01-12 8728
文章目录一. 基本信息1.1 应用权限1.2 应用行为1.3 第三方SDK1.4 恶意程序1.5 越权行为1.6 权限滥用风险1.7 资源文件包含APK二. 源文件安全2.1 应用完整性2.2 程序签名包2.3 Java代码加壳程度2.4 Java代码混淆2.5 SO文件加固2.6 H5文件加固2.7 Java层关键函数风险2.8 资源文件泄露风险2.9 单元测试配置三. 数据存储风险3.1 WebView明文存储密码3.2 数据库注入漏洞3.3 FFmpeg文件读取漏洞3.4 证书文件明文存储风险3.5
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
最新发布
09-14
【描述】"Delphi Anti Soft Ice - Anti Debug trick routines" 指出,压缩包内的内容主要是Delphi中用来对抗SoftICE的反调试技巧或方法。这些技巧通常包括各种检测调试器是否附加到进程中的方法,以及在检测到调试器...
软件加密技术内幕
03-19
5.1 反调试技术(Anti-Debug) 5.1.1 句柄检测 5.1.2 SoftICE后门指令 5.1.3 int68子类型 5.1.4 ICECream子类型 5.1.5 判断NTICE服务是否运行 5.1.6 INT 1 检测 5.1.7 利用UnhandledExceptionFilter检测 ...
【软件加密_技术内幕】
04-24
[Trial version] 通过PEB实现AntiDebug.htm [Trial version] 5.2 反跟踪技术(Anti-Trace) [Trial version] tELock中的SEH反跟踪代码.htm [Trial version] 利用SEH改变程序流程以达到反跟踪的目的.htm [Trial ...
动态分析Android App之动态调试
热门推荐
lilac的博客
08-24 1万+
动态分析Android App之动态调试 这个系列一共有五篇左右,内容主要介绍如何动态分析和调试Android App,和网上其他教程相比,内容更充实,体系更健全,深入而浅出。闻道有先后,术业有专攻,希望能给刚入门Android逆向的同侪们些微帮助。 出于各种原因,文章有两个遗憾,一是只包含了Java层代码的动态分析和调试,Jni和Native层并没有涉及;二是对Hook框架的介绍和使用不是很充分...
SoftICE调试程序使用说明
08-05
SoftICE调试程序的使用说明 PDF格式 使用softice调试驱动可以参考一下
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档实现了java层和native层的反调试手段 对于学习Android安卓逆向和安全的人来说有非常大的借鉴意义 里面附有详细的实现代码
安卓加固基础(二)
01-20
4.反调试 4.1 思路一(一个进程最多只能被一个进程ptrace) 本文章主要针对安卓so反调试和最初的加壳方法进行了一下总结 在处于调试状态时,Linux会向/proc/pid/status写入一些进程状态信息,比如TracerPid字段会写入调试进程的pid,因此我们可以自己ptrace自己,然后让android_server不能调试 代码如下: #include //这个头文件很重要 void anti_debug01() { ptrace(PTRACE_TRACEME,0,0,0); } jint JNI_Onload(JavaVM* vm,void* reserved)
iOS程序 防止动态调试
qq_25303213的博客
10-09 2117
如何防止你的应用被GDB附加进程?
android 动态调试 遇到的问题
lonelykin的专栏
06-30 824
windows 查看端口占用并关闭cmd下输入如下命令:netstat -ano //查看系统端口 netstat -ano | findstr "8700" //查询占用进程 tasklist|findstr 进程号 //查看进程名 taskkill /f /t /im pid taskkill /f /t /im /javaw.exeandroid 查看端口占用并关闭adb sh
App动态调试
Jiajiajiang_的博客
10-25 3781
APK使用反编译工具AndroidKiller进行反编译后,在AndroidManifest.xml没有设置android:debuggable属性,没有该属性下debuggable默认是关闭,但是在模拟器或设备系统属性ro.debuggable为1(可以使用命令"adb shell getprop ro.debuggable"来检测该值)可进行动态调试。 1.先查看AndroidManifes...
android 高危漏洞,activity劫持,动态调试及so注入
kingwjh的专栏
10-27 1865
如上图,apk已经用腾讯加固过,但是被检测出3个高危漏洞(RN项目) 1、activity劫持: 在MainActivity中: @Override protected void onResume() { AntiHijackingUtils.getinstance().onResume(); super.onResume(); Log.e("生命周期","onResume"); } @Override protected void onPause() { An..
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
Android应用防止so注入防止动态调试参考代码
weixin_37459943的博客
10-27 4875
由于公司应用需要过安全测试,测试那边说有so注入漏洞; 废话不多说。直接上代码 package com.pactera.dongfeng.util; import android.content.Context; import android.content.pm.ApplicationInfo; import android.os.Debug; import com.hjq.toast.ToastUtils; import com.pactera.dongfeng.BuildConfig;
SoftICE调试工具使用指南
SoftICE是一款强大的逆向工程和调试工具,主要用于Windows 95和Windows NT操作系统。它允许程序员在运行时深入到代码内部,进行逐行调试、设置断点、查看内存状态等操作,极大地提高了调试的效率和精确度。 在本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值