android 多线程反调试,64位内核开发第五讲,调试与反调试

最新推荐文章于 2021-05-29 09:58:47 发布
最新推荐文章于 2021-05-29 09:58:47 发布
阅读量112 收藏
点赞数
文章标签: android 多线程反调试

反调试与反反调试

一丶反调试的几种方法

1.DebugPort端口清零

debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了

也就是说你不能单步了.等相关调试操作了.

如果做反调试.开启一个线程.不断的对这个DebugPort进行清零.

进而进行反调试.

思路:

1.找到当前进程的EPROCESS结构

2.通过硬编码找到这个位置.(硬编码)

如果是硬编码.就需要自己根据系统去判断.

2.KdDisableDebugger

在内核中调用这个函数后,它会检测是否检测是否挂载了windbg.

也是开启线程.不断调用.

3.ring3下的 isDebuggerpresent和CheckRemoteDebuggerPresent

应用层可以调用这两个函数判断

4.使用Hook手段.

如在内核中进行HOOK

下面列出函数名

函数名字

作用

HOOK后

NtOpenThread

创建内核线程

防止调试器在内部创建线程

NtOpenProcess

打开进程

防止OD等调试工具在调试列表中看到

kiAttachProcess

附加调试进程

防止被附加

NtReadVirtualMemory

读取虚拟内存

防止自己进程被读内存(ReadProcessMemory)

NtWriteVirtualMemory

写内存

防止内存被写

KdReceivePacket

KDCOM.dll中Com串口接收数据的函数

你自己做过滤

KdSendPacket

KDCOM.dll中的Com串口发送数据函数

HOOK上面跟这个函数.可以防止双机调试

二丶反反调试

上面说的是防,那么我们可以进行攻击

1.针对DebugPort

1.可以对DebugPort下内存断点.一旦有程序进行修改.就会被断下.

从而找到对应的反调试代码.对这个代码进行patch.

2.可以自建调试体系.不走它的.进而绕过这个保护.

2.针对 KdDisableDebugger

这个函数会检测调试器.从而禁止被调试.

可以在对应的这些函数地址下段点.然后对相关代码进行patch.比如进行返回.

3.针对HOOK

如果是HOOK.我们可以借助一些工具进行恢复.当然如果可以你自己也可以写恢复代码.这看你当时的需求了.

常见的就比如: pchunter PowerTools anti(安天)

3.花指令

进行反调试可以进行加花.故意进行干烧.

如:

push edx

pop edx

inc ecx

dec ecx

add esp,1

sub esp,1

直接对一个寄存器进行加.然后进行减.操作完根本不会影响寄存器的原值.

jmp LABEL

db opcode

LABEL

还有这种.中间加个db.但是他会影响你.

db Opcode跟后面指令结合就会错乱.但是不会影响程序正常执行.

jz label

jnz label

db opcode

Label

不管是否正确.都会进行强制跳转.进而进行干扰.

原文:https://www.cnblogs.com/iBinary/p/10990674.html

weixin_39628070
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 多线程调试,[原创]分析绑绑调试
weixin_30086041的博客
05-25 999
第一次分析绑绑加固,我并不是想脱壳只是想看看他怎么调试的,这里记录下分析的过程。语言组织不好如果有需要的同学将就看看吧。在调试的时候开始还是很痛苦的我也不知道他加了什么混淆正乱七八糟的流程没法看,只能一路F8,碰到函数调用就看看是什么函数,调用完后看看返回值。在分析的过程中看到他读取.cache目录下的文件,有点怀疑这里面有个是加密的dex文件,但是我没分析不知道是不是。其中我记录了下java...
android 多线程调试,android 调试(TracePid 不断轮询检查 JAVA )
weixin_30803191的博客
05-25 305
android 调试(TracePid 不断轮询检查 JAVA )android 调试(TracePid 不断轮询检查 JAVA )在android 中,在调试状态下,linux会向/proc/"进程PID"/status 中写入状态信息。其中TracePid 就是调试该进程的进程的的Pid,所以调试的方法之一就是通过不断轮询检查TracePid的值,假如为0的话,说明该进程没有被调试,假如...
内核调试
liuhaidon1992的博客
01-08 1317
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
解决Android加固多进程ptrace调试的思路整理
云守护的专栏
04-09 2393
转自:https://blog.csdn.net/QQ1084283172/article/details/53613481 一、Android多进程调试的原理代码 当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种调试的手法,效果还是不错的。 /*********************************...
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核反反调试插件
03-08
AA调试 内核反反调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现反反调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
Android开发艺术探索自己总结的pdf(包含原文档)
06-17
7. **AsyncTask与线程管理**:Android中进行耗时操作应避免阻塞主线程,AsyncTask提供了简单的异步处理机制,而线程池和Handler/Looper机制则适用于更复杂的多线程场景。 8. **生命周期管理**:Activity和Service的...
Android知识体系.zip
01-22
10. **多线程**:Android应用通常在主线程(UI线程)运行,但执行耗时操作会阻塞用户界面。因此,使用子线程(如AsyncTask、Handler或线程池)处理后台任务是必要的。 11. **权限管理**:Android有严格的权限管理...
android实例源码2
04-21
综上,"android实例源码2"压缩包中的文件可能涵盖了Android开发的多个重要知识点,通过深入学习和分析,开发者可以提升自己的技能,更好地应对实际项目中的挑战。不过,具体到12、13、14、15、10、9、11这些文件名,...
Android高手过招 FAQ .zip
最新发布
03-10
2. **Android应用程序开发**:可能涉及到Activity、Service、BroadcastReceiver、ContentProvider的使用方法,以及Intent、生命周期管理、多线程和异步处理等相关知识点。 3. **UI设计与布局**:可能讨论了如何使用...
android面试题
07-17
5. **多线程与并发** - Handler、Looper、Message:理解消息循环和线程通信机制。 - AsyncTask:轻量级的后台任务处理,但已被弃用,需了解替代方案。 - Thread和Runnable:基础线程操作,以及线程池的概念。 6....
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试Android逆向必备
刷boot.img内核防止调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过调试 3、提供了需要用到的工具和源码
VB6.0 TIMER 调试例子.rar
07-10
VB6.0 TIMER 调试例子源代码下载,假设这里是我们的注册过程,我们隔三差五随意将以下代码复制粘帖,实际软件中,应该彻底隐蔽这些提示消息,实际软件中,应该彻底隐蔽这些提示消息,直接引入错误的分支去执行乱七八糟的代码。
调试反反调试
kernweak的博客
05-23 447
调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
内核两种调试方法
zhuhuibeishadiao
05-02 4185
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007
android信号量调试,进程、线程、多线程的网址集结(看)
weixin_26843605的博客
05-29 70
面试总是会问这方面的内容,自己虽然知道一点点点点的概念,但是并不是很透彻的了解,这次,面试就挂在这个问题上了。哎。还是先提前写一下这个吧。进程和线程。1、进程和线程下面这个总结得挺好的。http://www.cnblogs.com/obama/archive/2013/04/12/3016509.html2、多线程解http://blog.csdn.net/column/details/kil...
Android逆向之旅---应用的"调试"方案解析(附加修改IDA调试端口和修改内核信息)
mergerly的专栏
02-22 515
一、前言在前一篇文章中详细介绍了Android现阶段可以采用的几种调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段调试策略主要包括以下几种方式:第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)!第二、签名校...
ptrace 调试
weixin_30355437的博客
12-30 526
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
调试 - 调试对象
LYSM
07-14 536
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <W
调试反反调试
zhuhuibeishadiao
03-31 5607
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值