反调试

最新推荐文章于 2023-06-01 08:40:20 发布
最新推荐文章于 2023-06-01 08:40:20 发布
阅读量113 收藏
点赞数

 

在PEB结构中有一个BegingDebugged标志位专门用于检测是否处于调试状态,为1则处于调试状态,用VS2017测试下列程序:

#include "pch.h"
#include <iostream>
#include <windows.h>
 
//反调试1
bool PEB_BegingDebugged()
{
    bool BegingDebugged = false;
    __asm
    {
        mov eax, fs:[0x30];               //获取PEB
        mov al, byte ptr ds : [eax + 0x2];//获取Peb.BegingDebugged
        mov BegingDebugged, al;
    }   
    return BegingDebugged;                //如果为1则说明正在被调试
}
 
int main()
{
    if (PEB_BegingDebugged())
    {
        MessageBoxA(0, "正在被调试", 0, 0);
        return 0;
    }
    std::cout << "Hello World!\n";
    getchar();
}

 

在0环和3环运行的函数NtQueryInformationProcess,它的主要作用是查看进程相关的各种信息,在这把它用于检测调试。
我们给它第二个参数传入ProcessDebugPort,当输出的查询信息为0xFFFFFFFF时,则此程序处于被调试状态。代码如下:

#include "pch.h"
#include <iostream>
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")
 
//反调试2
bool NQIP_ProcessDebugPort()
{
    int nDebugPort = 0;
    NtQueryInformationProcess(
        GetCurrentProcess(),//目标进程句柄
        ProcessDebugPort,   //查询信息的类型
        &nDebugPort,        //输出查询的信息
        sizeof(nDebugPort), //查询类型的大小
        NULL);             
    return nDebugPort == 0xFFFFFFFF ? true : false;
}
 
int main()
{
    if (NQIP_ProcessDebugPort())
    {
        MessageBoxA(0, "正在被调试", 0, 0);
        return 0;
    }
    std::cout << "Hello World!\n";
    getchar();
}

 

昵称正在加载
关注
调试抖音App(教程)
AAjjx的博客
06-11 3565
一、准备工作 1)下载砸过壳的抖音IPA 2)MonkeyDev环境 3)class_dump 二、使用MonkeyDev建立空的工程,拖入IPA到目标文件夹中 1)启动Xcode进行编译执行 一起动就crash,说明签名校验已经通过。 1 LLVM Profile Error: Failed to write file “default.profraw”: Operation not permitted   遇到上面的错误,经过查询说是,抖音App内部通过ptrace判断是否有调试器挂载,判断调试的功能
处理veh调试器检测_越狱检测抖音逻辑???
weixin_33066433的博客
01-08 2009
对于应用安全甲方一般会在这三个方面做防御.按逻辑分类的话应该应该分为这几类, 但如果从实现原理的话, 应该分为两类, 用API实现的 和 不用API实现的(这说的不用 API 实现, 不是指换成 inine 函数就行) . 首先使用 API 实现基本统统沦陷. 直接通过指令实现的机制还有一丝存活的可能. 逻辑的话应该分为, 调试, 注入, 越狱检测, hook 检测.arm64 相关...
抖音App动态调试
weixin_30478923的博客
09-19 1093
一、准备工作   1)接上一篇,下载砸过壳的抖音IPA   2)MonkeyDev环境   3)class_dump 二、使用MonkeyDev建立空的工程,拖入IPA到目标文件夹中   1)启动Xcode进行编译执行   一起动就crash,说明签名校验已经通过。 LLVM Profile Error: Failed to write file "default...
Android逆向之旅---Android中分析抖音和火山小视频的数据请求加密协议(IDA动态调试SO)
热门推荐
编码美丽
12-11 3万+
一、前言 最近萌发了一个做app的念头,大致什么样的app先暂时不说,后面会详细介绍这个app的开发流程和架构,不过先要解决一些技术前提问题,技术问题就是需要分析解密当前短视频四小龙:抖音,火山,秒拍,快手这四家短视频的数据请求加密协议,只有破解了加密协议,才可以自定义数据请求拉回数据。不多说了,本文先来第一站搞定抖音和火山这两个数据请求的加密协议,为什么说是这两个呢?因为我们在后面分析会发现这
抖音数据采集Frida进阶:脱壳、自动化、高频问题
Android技术之家
06-01 2940
https://blog.51cto.com/u_15101562/26224101 Frida用于脱壳 安全工程师在拿到应用评测的任务之后,第一件事情是抓到他的收包发包,第二件事情应该就是拿到它的apk,打开看看里面是什么内容,如果不幸它加了壳,可能打开就是这样的场景,见下图,什么内容都看不到,这时候就要首先对它进行脱壳。壳的种类非常多,根据其种类不同,使用的技术也不同,这里稍微简单分个类:一代...
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
VT_demo 编译修复_调试_DEMO_VT_demo_VT_自建调试体系_
09-29
【VT_demo 编译修复_调试_DEMO_VT_demo_VT_自建调试体系_】这个项目主要涉及的是在软件开发中的一项关键技术——虚拟化技术(Virtualization Technology,VT)的应用,特别是在自建调试体系方面的实践。...
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用调试技术。本篇文章将深入探讨调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术。 调试技术主要目标是检测调试器的...
阿布调试工具-2024.05.10新版
最新发布
06-10
"阿布调试工具-2024.05.10新版" 是一款专为应对软件调试而设计的应用程序,旨在保护软件不被逆向工程分析和调试。这款工具可能包含了一系列先进的调试技术,使得调试者难以对目标程序进行深入的分析和篡改。在...
调试技术揭秘(转)
weixin_33935505的博客
03-04 530
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
关于调试&调试那些事
u011661836的博客
06-03 1291
http://www.alonemonkey.com/2017/05/25/antiantidebug/ 前言 在逆向和保护的过程中,总会涉及到调试调试的问题,这篇文章主要是总结一下几种常见的调试手段以及调试的方法。 调试 ptrace 为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统
抖音APP接口签名算法分析
weixin_33893473的博客
11-05 1939
抖音作为一款日活超过1亿的优秀APP,其客户端与服务端的通信方式很值得APP开发者去研究和学习,为了保护其数据,客户端请求数据的接口都进行了加密,未经过加密处理的url,请求的时候不会返回数据,这里以最新的3.0版本为例,分析一下加密算法。 https://api.amemv.com/aweme/v1/feed/?manifest_version_code=310&_rticket=15...
Android逆向之旅---抖音短视频的Native注册混淆函数获取方法
编码美丽
09-25 4778
一、静态分析最近在小密圈中有很多同学都在咨询有时候有些应用的动态注册Native函数,在分析so之后发现找不到真的实现函数功能地方,我们知道有时候为了安全考虑会动态注册N...
抖音编译:android编译之最新版本抖音(v7.7.0)安卓版编译教程
ucsheep-You see sheep!
10-21 8164
1.准备 安卓编译,我们用到的工具有两个 dex2jar 将dex文件转为jar文件 jd-gui 用于查看jar文件源代码,支持引用之间的跳转 2.获取抖音dex文件 2.1.获取最新版本抖音apk 下载到了抖音apk文件 aweme_aweGW_v7.7.0_c2b0c95.apk 2.2.解压apk文件 任意的压缩软件,右键然后解压缩。或者将apk文件重命名为*.zip,右键解压即可 ...
来自逆向大佬的某音app分析
muzico425的博客
10-12 3831
前言这篇文章没什么技术性,非常简单。android 某音最新版本v8.1.1抓包请求的api是v2版本,返回的json被稍微加密了,虽然能看出一些内容,但是中文几乎全部被...
获取进程命令行参数
donglinshengan的专栏
04-14 4440
#include &lt;Winternl.h&gt;void GetProcessCommandLine(DWORD pid){ pid = 1688; HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (INVALID_HANDLE_VALUE != hProc) { HANDLE hNewProcess = NUL...
Windows TLS调试技术解析
本文档深入探讨了"TLS调试的前世今生"这一主题,主要聚焦于Windows系统中的ThreadLocalStorage (TLS) 技术在对抗调试中的应用。TLS最初设计是为了在多线程环境下确保全局变量的安全访问,通过操作系统提供的互斥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值