关于反调试及反反调试那些事

最新推荐文章于 2024-03-29 09:47:51 发布
最新推荐文章于 2024-03-29 09:47:51 发布
阅读量731 收藏 4
点赞数
文章标签: python java 嵌入式
原文链接:https://juejin.im/post/5ce5442ae51d4556be5b39bf
版权

前言

在逆向和保护的过程中,总会涉及到反调试和反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段以及反反调试的方法。

反调试

ptrace的

为了方便应用软件的开发和调试,从Unix的的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_DENY_ATTACH,这个参数用来告诉系统,阻止调试器依附。

所以常用最反的调试方案就是通过调用ptrace来实现反调试。

#ifndef PT_DENY_ATTACH
    #define PT_DENY_ATTACH 31
#endif

typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);

ptrace(PT_DENY_ATTACH, 0, 0, 0);

void *handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = (ptrace_ptr_t)dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);

复制代码
的sysctl

当一个进程被调试的时候,该进程会有一个标记来标记自己正在被调试,所以通过可以sysctl去查看当前进程的信息,看有没有这个标记位即可检查当前调试状态。

BOOL isDebuggerPresent(){
    int name[4];                //指定查询信息的数组

    struct kinfo_proc info;     //查询的返回结果
    size_t info_size = sizeof(info);

    info.kp_proc.p_flag = 0;

    name[0] = CTL_KERN;
    name[1] = KERN_PROC;
    name[2] = KERN_PROC_PID;
    name[3] = getpid();         

    if(sysctl(name, 4, &info, &info_size, NULL, 0) == -1){
        NSLog(@"sysctl error ...");
        return NO;
    }

    return ((info.kp_proc.p_flag & P_TRACED) != 0);
}

复制代码

检测到调试器就退出,或者制造崩溃,或者隐藏工程啥的,当然也可以定时去查看有没有这个标记。

系统调用

为从实现从用户态切换到内核态,系统提供了一个系统调用函数syscall,讲到上面的ptrace也是通过系统-调用去实现的。

Kernel Syscalls 71 这里可以找到对应ptrace的编号。

26\. ptrace               801e812c T

复制代码

所以如下的调用等同于调用ptrace

    syscall(26,31,0,0,0);

复制代码

syscall是通过软中断来实现从用户态到内核态,可以也。汇编通过svc调用来实现。

#ifdef __arm__
        asm volatile(
            "mov r0,#31\n"
            "mov r1,#0\n"
            "mov r2,#0\n"
            "mov r12,#26\n"
            "svc #80\n"

        );
#endif
#ifdef __arm64__
        asm volatile(
            "mov x0,#26\n"
            "mov x1,#31\n"
            "mov x2,#0\n"
            "mov x3,#0\n"
            "mov x16,#0\n"
最低0.47元/天 解锁文章
weixin_34176694
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
调试反反调试学习·1(挖坑)
黑夜黎明
06-19 1778
文章目录个人理解静态调试PEBTEB原始API攻击调试器打开进程检查TLS回调函数使用普通API动态调试使用SEH时间检查单步检查补丁检查反反汇编偷取代码分页保护壳虚拟机 个人理解   2019.6.19 在汇编面前没有任何程序有秘密(opcode层面做的技巧改动没接触到),调试是打开程序内部乃至程序一切的一把钥匙,调试就是让钥匙失效的一种手段。调试根据破坏调试过程的时间不同整体分为静态...
INT 3 异常调试
weixin_37740119的博客
01-22 926
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
调试技术
nareku的博客
06-21 779
思来想去还是先写反反调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
脱壳入门(八)之带调试的加密壳
w_g3366的博客
09-05 1023
文章目录程序分析分析过程1.找OEP2.反反调试3.解密IAT4.OD脚本还原IAT5.内存重建IAT表6.Dump文件,修复 程序分析 查壳:PESpin壳,连接器版本也没有 分析过程 1.找OEP 用OD载入文件,F7单步走几步就可以看到pushad,用ESP定律 程序直接运行完毕,并没有断下来,这说明这个壳有清除硬件断点的调试 得换条路,下API断点,常见的入口API VB程序:Ge...
聊一聊对一个 C# 商业程序的反反调试
一线码农的专栏
11-02 485
这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
一个OD补丁用来调试
03-16
6. **学习与研究**:通过这个过程,你可以深入学习调试技术和逆向工程,了解软件如何检测和应对调试,以及如何编写或使用反反调试策略。 在实际操作中,了解和掌握这些知识不仅可以提升你在逆向工程领域的技能,...
js经验分享 JavaScript调试技巧
10-18
JavaScript调试技术是开发者用来防止他人通过调试工具分析其代码的一种策略,尤其在网络犯罪中,这些技巧被用于隐藏恶意软件的行为。以下是一些关键的JavaScript调试方法: 1. **检测未知的执行环境**:代码...
调试反反调试
zhuhuibeishadiao
03-31 5601
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
调试技术总结(看雪)
eli的博客
12-07 2649
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
IOS调试反反调试
qq_39153421的博客
09-06 1998
0x1 调试原理及方法 1.ptrace 调试就是通过ptrace附加去读取内存的值,然后去做动态调试打印寄存器的值之类的,所以可以通过ptrace让我们的程序不能被调试器附加。 2.sysctl sysctl发送一个指令去查询程序是否被调试器附加了,如果被附加了,系统是否调试状态的标志位会改变,我们可以处理一些自己的逻辑。 3.syscall 系统的调用,每...
编写一个watchdog.sh脚本_编写 LLDB 调试器脚本
weixin_39815435的博客
11-26 140
LLDB 调试器提供对 Python 脚本的支持,可以执行一些自动化的操作,提供工作效率。本文从 HelloWorld 开始学习如何编写 LLDB 脚本。编写第一个 LLDB 脚本下面我们来实际操作编写 LLDB 调试器脚本。在计算机上建立一个目录用于存脚本文件,比如我们在 /Users/exchen/lldb 这个目录下操作,新建一个 HelloWorld.py 的文件,输入下面的代码...
探索 AntiAntiDebug:一款强大的调试工具
gitblog_00075的博客
03-29 281
探索 AntiAntiDebug:一款强大的调试工具 项目地址:https://gitcode.com/AloneMonkey/AntiAntiDebug 在软件开发和安全研究领域,了解如何对抗调试技巧是至关重要的。AntiAntiDebug 是一个开源项目,专注于提供一套调试策略集合,帮助开发者和安全研究人员更好地隐藏代码行为,防止恶意逆向工程攻击。 项目简介 AntiAntiDebug 是...
Android逆向——动态调试过掉调试的方法
weixin_33998125的博客
04-02 996
1. 遇到文件监控线程就NOP掉吧二进制00 00 A0 E1 在IDA中识别为NOP2.rtld_db_dlactivity找到符号 rtld_db_dlactivity ,将DE 10修改为NOP指令 C0 463. 时间差检测可以在time、gettimeofday函数下断点,手动修改返回值使其统一,或者hook该函数使其返回同一个数值4.TracePid可以在strtol函数下断点,修...
iOS Mach异常和signal信号
zhoushuntian的博客
03-13 609
本着探究下iOS Crash捕获的目的,学习了下Crash捕获相关的Mach异常和signal信号处理,记录下相关内容,并提供对应的测试示例代码。Mach为XNU的微内核,Mach异常为最底层的内核级异常,在iOS系统中,底层Crash先触发Mach异常,然后再转换为对应的signal信号。 作者:阿里云-移动云-大前端团队 原文:http://click.aliyun.c
微信回调调试方法
licanfeng1的专栏
05-13 1527
public function receiveNotify() { //通知频率为15/15/30/180/1800/1800 //1.检查库存量。 //2.更新订单status //减库存 //如果成功处理,我们返回微信成功处理的信息,否则,返回失败信息 // $xmlData = file...
windows 调试
最新发布
05-16
Windows调试是指一种技术手段,用于防止黑客或者其他人对应用程序进行调试,从而保护程序的安全性。调试技术可以通过检测调试器的存在或者修改调试器的行为来达到防御的目的。 常见的调试技术包括以下几种: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值