2021-09-21

最新推荐文章于 2021-10-04 10:44:12 发布
最新推荐文章于 2021-10-04 10:44:12 发布
阅读量1.2k 收藏
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42854244/article/details/120399858
版权

文章目录

前言

提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。

提示:以下是本篇文章正文内容,下面案例可供参考

一、反调试

PEB相关
BegingDebugged标记位可以使用FS寄存器访问到,也可以使用API函数IsDebuggerpressent()检查,如果其值为1则证明本进程处于被调式状态

#include <stdio.h>
#include <Windows.h>
bool PEB_BegingDebugged()
{

	bool BegingDebugged = false;
	_asm
	{
		MOV EAX, DWORD PTR FS : [0X30] ;
		MOV AL, BYTE PTR DS : [EAX + 0X02] ;
		MOV BegingDebugged, AL;
	}
	return BegingDebugged;
}




int main()
{
	bool Ret = PEB_BegingDebugged();

	if (Ret == false)
	{
		printf("啥事没有");
	}
	else
	{
		printf("有危险,快跑!!!");
	}

	system("pause");

	return 0;
}

NtQueryinformationProcess相关

**NtQueryinformationProcess是一个可以同时在R0及R3运行的函数,它的主要作用是查看进程相关的各种信息
根据想要查看的信息类型不同,我们给它的第二个参数Process Information Class传递的值也不同,根据Process Information Class的类别可知,此函数可以查看大概60余种进程相关的信息
ProcessDebugPort可以获取目标进程的调试端口,如果目标进程未出与调试状态,此端口为0,否则为0xFFFFFFFF**

#include <Windows.h>
#include <stdio.h>
#include <winternl.h>

#pragma comment(lib,"ntdll.lib")
bool NQIP_ProessDebugPort()
{

	//ProcessDebugPort可以获取目标进程的调试端口,如果目标进程未出与调试状态,此端口为0,否则为0xFFFFFFFF
	int nDebugPort = 0;
	NtQueryInformationProcess(
		GetCurrentProcess(),
		ProcessDebugPort,
		&nDebugPort,
		sizeof(nDebugPort),
		NULL);
	return nDebugPort == 0xFFFFFFFF ? true : false;
}


int main()
{
	bool Ret = NQIP_ProessDebugPort();
	if (Ret == true)
	{
		printf("有危险\n");
	}
	else
	{
		printf("啦啦啦啦");
	}
	system("pause");

	return 0;
}

*ProcessDebugObjectHandle可以获取目标进程的调试对象句柄,如果未处于调试状态则获取的值为NULL

#include <Windows.h>
#include <stdio.h>
#include <winternl.h>

#pragma comment(lib,"ntdll.lib")



bool NQIP_ProcessDebugObjectHandle()
{
	HANDLE hPorcessDebugObjecthandle = 0;
	//ProcessDebugObjectHandle可以获取目标进程的调试对象句柄,如果未处于调试状态则获取值为NULL
	NtQueryInformationProcess(
		GetCurrentProcess(),                  //目标进程句柄
		(PROCESSINFOCLASS)0x1E,               //查询信息类型
		&hPorcessDebugObjecthandle,           //输出查询信息
		sizeof(hPorcessDebugObjecthandle),    //输出查询类型大小
		NULL                                  //实际返回大小
	);

	return (hPorcessDebugObjecthandle == 0) ? true:false;
}

int main()
{
	bool Ret = NQIP_ProcessDebugObjectHandle();
	if (Ret == true)
	{
		printf("啦啦啦啦啦啦啦");
	}
	else
	{
		printf("有危险,快跑!!!!");
	}

	system("pause");
	return 0;

processDebugFlag可以获取目标进程的调试标记,如果处于调试状态其值为0,否则为1

#include <Windows.h>
#include <stdio.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")

bool NQLP_ProcessDebugFla()
{

	//processDebugFlag可以获取目标进程的调试标记,如果处于调试状态其值为0,否则为1
	BOOL bProcessDebugFlag = 0;
	NtQueryInformationProcess(
		GetCurrentProcess(),                //目标进程句柄
		(PROCESSINFOCLASS)0x1F,             //查询信息类型
		&bProcessDebugFlag,                 //输出查询信息
		sizeof(bProcessDebugFlag),          //查询类型大小
		NULL                                //实际返回类型大小
	);
	return bProcessDebugFlag ? true : false;
}


int main()
{
	bool Ret = NQLP_ProcessDebugFla();
	if (Ret == true)
	{
		printf("啥事没有~啦啦啦啦啦");
	}
	else
	{
		printf("正在被调试,赶紧跑!!!");
		
	}

	system("pause");

	return 0;
}

ProcessBasicInformation 可以获取指定进程的父进程PID,我们可以将其与Explorer.exe的PID进行对比,如果不匹配则证明此进程不是被双击运行的

#include <Windows.h>
#include <stdio.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")

bool NQLP_CheckParentProcess()
{
	//ProcessBasicInformation 可以获取指定进程的父进程PID,我们可以将其与Explorer.exe的PID进行对比,如果不匹配则证明此进程不是被双击运行的
	struct PROCESS_BASE_INFORMATION {
		ULONG ExitStatus;					//进程返回码
		PPEB PebBaseAddress;				//PEB地址
		ULONG AffinityMask;					//CPU亲和性掩码
		LONG BasePriority;					//基本优先级
		ULONG uNIQUEpROCEId;			    //本进程ID
		ULONG InheritedFromUniqueProcessId;//父进程PID
	}stcProcInfo;

	NtQueryInformationProcess(
		GetCurrentProcess(),
		ProcessBasicInformation, &stcProcInfo,
		sizeof(stcProcInfo), NULL);
		
	DWORD ExPlorerPID = 0;
	DWORD CurrentPID = stcProcInfo.InheritedFromUniqueProcessId;
	GetWindowThreadProcessId(FindWindow(L"Progman",NULL),&ExPlorerPID);
	return ExPlorerPID == CurrentPID ? false : true;
}

int main()
{
	bool Ret = NQLP_CheckParentProcess();
	if (Ret == true)
	{
		printf("有危险,快跑!!!");
	}
	else
	{
		printf("啦啦啦啦啦~啥事没有!!!!");
	}
	system("pause");
	return 0;
}

NtQuerySysteminformation()函数获取当前系统是否开启调试模式


#include <Windows.h>
#include <stdio.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")
//

typedef enum THREAD_INFO_CLASS {
    ThreadHideFromDebugger = 17
};

typedef NTSTATUS(NTAPI* ZW_SET_INFORMATION_THREAD)(
    IN  HANDLE ThreadHandle,
    IN  THREAD_INFO_CLASS ThreadInformaitonClass,
    IN  PVOID ThreadInformation,
    IN  ULONG ThreadInformationLength);

void ZSIT_DetachDebug()
{
    ZW_SET_INFORMATION_THREAD Func;
    Func = (ZW_SET_INFORMATION_THREAD)GetProcAddress(
        LoadLibrary(L"ntdll.dll"), "ZwSetInformationThread");
    Func(GetCurrentThread(), ThreadHideFromDebugger, NULL, NULL);
}

int main()
{
    ZSIT_DetachDebug();
    system("pause");
    return 0;
}

破解函数反调试的最有效的方法就是找到具体的函数调用的地点,并分析其条件跳转,然后做暴力破解,亦或是通过HOOK的方式过滤其返回消息。想要在调试的过程种做好以上工作,最好熟记各个功能号(第二个参数传的值)的作用: 0x07 获取调试端口(processDebugPort) 0x1E获取调试句柄(processDebugObjectHandle) 0x1F获取调试标记(ProcessDebugFlags)

总结

静态反调试 1. PEB->BeingDebugged是1(偏移为PEB+0X2的位置) 2. PEB->NtGlobalFlag 是0x70(PEB+0X68) 3. PEB->.ProcessHeap ForceFlags 不为2,(PEB + 0X90 + 0X40) 4. NtQueryInformationProcess相关 5. ProcessDebugPort : 调试端口 6. ProcessDebuggObjectHandle : 调试对象的句柄 7. ProcessDebugFlag:调试标记

动态反调试:
1.
2. 攻击调试器,让调试器和被调试进程分离
3. 0xCC检查
4. 时间检查
5. 通过异常 因为有调试器的时候,UEG就会失败,那么就可以将一些关键代码隐藏在UEH中。
6. 加壳
7. 虚拟机技术
8. 代码膨胀与混淆

寒 江 独 钓
关注
2021-09-21 WPF上位机 37-手写笔事件
微软MVP Eleven
09-21 3万+
手写笔事件(Stylus) 1、部分功能与鼠标事件同步。MSDN文档中Stylus与鼠标事件同步 2、基本事件 Surface-》触笔 StylusButtonDown StylusButtonUp StylusDown StylusUp StylusEnter StylusLeave StylusMove 3、手写识别 InkCanvas 基于Tablet PC SDK的IAWinFX.dll、IACore.dll 和 IALoader.dll <Window x:Class="Zhaoxi.Ev.
反调试
qq_41490873的博客
09-25 1085
软件断点 TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点, 通过TLS回调得到程序的OEP然后判断入口是否为int3断点 IsDebugPresent函数 IsDebugPresent判断进程环境块的一个flag是否为真,如果是真就代表正在被调试 HWBP_Exception(硬件断点) ...
反调试 - NtQueryInformationProcessProcessDebugPort,ProcessDebugFlagsProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 413
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
反调试 - NtQueryInformationProcessProcessDebugPort,ProcessDebugFlagsProcessDebugObjectHandle)
LYSM
09-16 4105
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试
weixin_30312563的博客
07-10 362
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
log-sessions-2021-09-21-183121.session
09-21
log-sessions-2021-09-21-183121.session
selenum-Python153【2021-09-21】.docx
09-28
**Selenium 概述** Selenium 是一个广泛用于 Web 应用程序自动化测试的开源工具。它支持多种编程语言,包括 Python,使得自动化测试变得更加灵活和便捷。Selenium 提供了一个WebDriver API,允许开发者控制浏览器并...
ffmpeg-2021-02-10-git-e0fd35d867-full_build (1).7z
05-06
Fmpeg 是领先的多媒体框架,能够解码、编码、转码、混合、解密、流媒体、过滤和播放人类和机器创造的几乎所有东西。它支持最晦涩的古老格式,直到最尖端的格式。
id uid exam_id start_time submit_time score 1 1001 9001 2021-09-01 09:01:01 2021-09-01 09:51:01 78 2 1001 9002 2021-09-01 09:01:01 2021-09-01 09:31:00 81 3 1002 9002 2021-09-01 12:01:01 2021-09-01 12:31:01 81 4 1003 9001 2021-09-01 19:01:01 2021-09-01 19:59:01 86 5 1003 9002 2021-09-01 12:01:01 2021-09-01 12:31:51 89 6 1004 9002 2021-09-01 19:01:01 2021-09-01 19:30:01 85 7 1005 9001 2021-09-01 12:01:01 2021-09-01 12:31:02 85 8 1006 9001 2021-09-07 10:01:01 2021-09-07 10:21:01 84 9 1003 9001 2021-09-08 12:01:01 2021-09-08 12:11:01 40 10 1003 9002 2021-09-01 14:01:01 (NULL) (NULL) 11 1005 9001 2021-09-01 14:01:01 (NULL) (NULL) 12 1003 9003 2021-09-08 15:01:01 (NULL) (NULL) sql求时间差
最新发布
07-25
您可以使用 SQL 中的函数来计算时间差。假设您想要计算 start_time 和 submit_time 之间的时间差,可以使用以下语句: ```sql SELECT id, uid, exam_id, start_time, submit_time, score, EXTRACT(EPOCH FROM ...
未定义UNICODE_STRING 标识解决方案
深耕安全技术研究
03-11 1413
文章目录1.问题描述2.问题查找3.问题解决 1.问题描述 我们在编码中使用到UNICODE_STRING这个类型,那么就需要包含#include <winternl.h> 头文件。但是当我们同时包含#include <Windows.h> 头文件的时候。 包含的具体情况是如下图情况 就会出现找不到UNICODE_STRING这个类型 2.问题查找 通过多次测试分析主要问题还是头文件包含顺序导致冲突而无法识别到#include <winternl.h>头文件,从而无法使
C++ 进程的实现《C++多线程编程实战》
qq_33373173的博客
01-30 1541
PCB进程控制块.大致分为3类 : 1)进程表示数据; 2)进程状态数据; 3)进程控制数据. 是管理进程的中心. NtProcessDemo.cpp 演示如何获得一个进程的基本信息结构地址 #include &amp;lt;Windows.h&amp;gt; #include &amp;lt;winternl.h&amp;gt; //包含了大部分Windows内部函数的原型和数据表示 #include &amp;lt;iostre...
Qt中不能使用#pragma comment(lib,...)这种方式导入lib
smaller
08-30 1万+
Qt中导入win库的时候 不能使用#pragmacomment(lib,...) 这是MSVC专有的表达式 在mingw中是不是别的,需要在Qt的pro文件中加入LIBS+=-lxxx 即可 比如: msvc中: #include &lt;Shlwapi.h&gt; #pragma comment(lib, "shlwapi") minGw: pro文件添加: L...
C++ windows系统上获取CPU使用率(解决c++在win10系统上获取到的CPU不准确问题)
翻肚鱼儿的博客
12-15 2333
1.使用 #pragma comment(lib,"ntdll.lib") 2.包含#include <Winternl.h> 3.自定义一下结构体 typedef struct _UINT64_DELTA { ULONG64 Value; ULONG64 Delta; } UINT64_DELTA, *PUINT64_DELTA; typedef struct _UINTPTR_DELTA { ULONG_PTR Value; ULONG_PTR Del...
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6220
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
Windows编程-未装入dll或函数未找到错误?undefined reference to xxx
NINE_world的博客
10-04 733
举个例子 #include <iostream> #include <windows.h> #include <tchar.h> #include <winternl.h> using namespace std; int main(int argc, char* argv[]) { PROCESS_BASIC_INFORMATION pi; memset(&pi, 0, sizeof(pi)); NTSTATUS re = N
与调试相关的系统级函数
AkeyMaker的博客
11-05 540
PEB相关   #include #include bool PEB_BeingDebugged() { bool BeingDebugged = false; _asm { mov eax, dword ptr
26种对付反调试的方法
weixin_34235371的博客
05-15 4551
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值