常见静态反调试技术总结

最新推荐文章于 2021-04-12 14:22:25 发布
最新推荐文章于 2021-04-12 14:22:25 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: 逆向分析 文章标签: 安全 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/106949220
版权

目录

静态反调试技术

本文介绍了几种常见的静态反调试技术,包括PEB,LTS等
文中用到的程序资源https://download.csdn.net/download/weixin_45551083/12549567

1 PEB

TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。

PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。在Win 2000下,进程环境块的地址对于每个进程来说是固定的,在0x7FFDF000处,这是用户地址空间,所以程序能够直接访问。

  • 获取PEB地址:
    (1) 直接获取
mov eax,fs:[0x30]
mov PEB,eax

(2) 先获取TEB地址,再获取TEB

mov eax, fs:[0x18]		;0x18处是TEB地址
mov eax, ds:[eax+0x30]
  • PEB中与反调试密切相关的成员:
+0x002 BeingDebugged
+0x00c Ldr
+0x018 ProcessHeap
+0x068 NtGlobalFlag
1.1 BeingDebugged +0x002

​ 进程处于调试状态时,PEB.BeingDebugged成员的值设为1.在非调试状态下为0;

  • IsDebuggerPresent() API
    通过获取PEB.BeingDebugged的值来判断是否处于被调试状态,被调试返回非0值,未被调试返回0值
    修改PEB.BeingDebugged的值或者IsDebuggerPresent() 的返回值即可破解
1.2 Ldr +00c

​ 调试进程时,其堆内存区域中会出现一些特殊标识,表名它正处于被调试状态.最醒目的是.未使用的堆内存区域全部填充着0xEEFEEEFE.利用这一特征可判断是否处于被调试状态.
​ PEB.Ldr 指向_PEB_LDR_DATA结构体指针,_PEB_LDR_DATA恰好是在堆中创建的.检测_PEB_LDR_DATA是否是0xEEFEEEFE即可判断是否处于被调试
​ 将填充着0xEEFEEEFE的区域写为NULL即可破解

1.3 ProcessHeap +0x018

​ PEB.ProcessHeap指向HEAP结构体.
​ HEAP结构体中与反调试有关的:

+0xC  Flags
+0x10 ForceFlags

程序正常运行时,
​ HEAP.Flags=0x2
​ HEAP.ForceFlags=0
调试时会发生变化.

  • GetProcessHeap()
    获取Flags和ForceFlags值来判断是否处于调试状态
    破解: 将HEAP.Flags重新修改为2 HEAP.ForceFlags修改为0
1.4 NtGlobalFlag +0x068

​ 调试进程时,PEB

最低0.47元/天 解锁文章
lonmar~
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
汇总病毒样本的常用调试技术分析技巧(持续更新)
ATree的博客
09-06 1213
自己在看到一些没见过的调试技术时,感觉很好奇,不清楚时如何调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些调试手段,这样后面大家如果碰到类似的调试技术时,都会很容易理解这段恶意代码的作用了。 1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境 2、下图中的v3的...
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1164
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
「娃娃分享」-调试技术总结.
weixin_30371875的博客
05-30 217
最近学习调试技术总结了网络上的一些调试技术,文章中的代码均通过调试,在OllyDbg中测试通过,同时谢谢看雪的《加密与解密》第三版测试软件:IDA最新5.5,使用5.4OllyDbg最新2.0,结合v1.10(汉化第二版)一.抗静态分析技术静态分析是指从汇编出来的程序清单上分析程序流程,静态分析主要是指扰乱汇编代码可读性。1.花指令在原程序中添加一些汇编指令,添加后不影响原程...
调试技术(一)--静态调试
weixin_34409357的博客
03-13 445
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
调试技术总结
weixin_30448685的博客
09-08 131
总结了一下网上的调试技术,记录一下 一、使用WindowsAPI :   1.IsDebuggerPresent   2.CheckRemoteDebuggerPresent ->call NtInformationProcess( 2参数ProcessInformationClass)   3.NTQueryObject(2参数ObjectInformationClass)检查调...
调试技术总结,全面
12-03
调试技术总结 调试技术是指在软件或系统中嵌入的技术,以检测、规避或对抗调试工具的技术调试技术广泛应用于软件保护、DRM(数字版权管理)和调试中。下面是调试技术总结,包括原理和实现目录。 ...
VC编译软件(可编译代码)
09-18
常见的C++编译工具有IDA Pro、OllyDbg、Hex-Rays等,它们提供了一系列高级功能,如图形化的汇编视图、调试器集成、自动代码重构等,帮助用户理解和修改二进制代码。这些工具并不保证能完全还原源代码,但可以...
编译.rar
05-09
4. **逆向工程**:逆向工程是编译的上层概念,它不仅包括将二进制转换为源代码,还包括静态分析和动态调试等多种技术,以了解软件的行为和功能。 5. **使用场景**:编译APK文件的常见用途包括: - 安全审计:...
基于固件分析的路由器Web页面安全评估技术.pdf
10-08
其次,逆向工程是对解包后的固件进行编译和调试,以理解代码的运行逻辑。通过这种方法,可以发现潜在的代码注入漏洞、跨站脚本(XSS)攻击、SQL注入等问题,这些都是Web页面常见安全漏洞。 再次,代码审查是评估...
cpp-在恶意软件分析过程中快速调试shellcode
08-15
- **调试技术**:恶意软件可能会检测调试器的存在并尝试避免被调试。 3. **使用GDB调试shellcode**: - **设置断点**:在shellcode预期加载或执行的位置设置断点。 - **内存视图**:利用GDB的`x/`命令查看内存...
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
各种调试技术原理与实例
04-22
各种调试技术原理与实例,各种调试技术原理与实例
静态调试技术
CSDN_2023的博客
03-12 3793
文章目录声明静态调试目的注意PEBhttps://blog.csdn.net/CSNN2019/article/details/113113347BeingDebugged(+0x2)破解之法:Ldr(0xc)破解之法:ProcessHeap(+0x18)Flags(0xC)&Force Flags(+0x10)破解之法:NtGlobalFlag(+0x68)破解之法调试程序代码调试技术系列: 声明 静态调试目的 被调试的进程用静态调试技术来侦测自身是否处于被调试状态,若侦测到处于被调试的状
几种常见调试方法
hambaga的博客
03-08 1370
#include <Windows.h> #include <stdio.h> BOOL IsDebug1() { return IsDebuggerPresent(); } BOOL IsDebug2() { HANDLE hProcess = GetCurrentProcess(); BOOL bDebug; if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug)) { return TRUE; }
Process Environment Block(PEB)
寻梦&之璐
01-25 5178
简介 PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
逆向学习笔记(3)——静态调试技术
谈成(C/C++)
04-12 395
1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1)BeingDebugged(+0x002) 当进程处于调试状态时,该标识为1,之为0。 对应的API是IsDebuggerPresent(),用于获取当前进程的调试状态
静态调试与动态调试
AkeyMaker的博客
11-15 2257
静态调试特点:在调试开始阻拦调试静态调试特点:调试过程中阻拦调试者,在调试中频繁触发
请问怎么保护进程进行外挂和调试,和静态分析
最新发布
05-25
保护进程进行外挂、调试静态分析是现代软件开发中非常重要的一环。以下是一些常见的方法: 1. 使用代码混淆:将代码进行混淆,使得代码难以被阅读和理解,从而增加了编译和分析难度。 2. 使用加密算法:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值