常见动态反调试技术总结

最新推荐文章于 2021-05-16 10:24:43 发布
VIP文章 最新推荐文章于 2021-05-16 10:24:43 发布
阅读量2.1k 收藏 6
点赞数 3
分类专栏: 逆向分析 文章标签: 安全 软件测试 gcc/gdb编译调试 软件架构师 调试器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/106984536
版权

动态反调试

本文介绍了几种常见的动态反调试技术,在阅读之前您可能要了解一些静态反调试手段.

前文 : 常见静态反调试技术总结

本文实例所用资源 : https://download.csdn.net/download/weixin_45551083/12555778

文章目录

1 SEH

1.0 SEH基本概念
基本概念

百度百科:

SEH(“Structured Exception Handling”),即结构化异常处理·是(windows)操作系统提供给程序设计者的强有力的处理程序错误或异常的武器。

SEH是Windows操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量运用于反调试程序. 就是异常时会启动SEH,SEH里面包括了处理异常的代码.

与C语言中的__try,__except,finally等处理机制类似,不过SEH要早于C语言中的异常处理

示例程序 seh.exe

地址0x401019处尝试向DS:[0]处写入数据,引发非法访问异常(较为常见的一种异常)

1593085446597

正常运行:

1593085742784

调试器下 : F9运行程序,调试器会暂停在此处,调试器下方会提示

1593085553809

Shift+F7/F8/F9 运行

1593085604080

调试器将异常交给SEH处理,而SEH中又有反调试技术,所以程序显示Debugger detected

1.1 异常
(1) 几个常见异常
  • EXCEPTION_ACCESS_VIOLATION ( 0xC0000005 )

试图访问不存在或不具有访问权限的内存区域时,就会发生EXCEPTION_ACCESS_VIOLATION(非法访问,较为常见)

举例:

MOV DWORD PTR DS:[0],1  ;内存地址0处是未分配的区域
ADD DWORD PTR DS:[401000],1;.text节区起始地址0x401000仅具有读权限,无写权限
XOR DWORD PTR DS:[80000000],1234;内存地址0x80000000属于内核区域,用户无法访问
  • EXCEPTION_BREAKPOINT ( 0x80000003 )

运行代码中设置断点后,CPU尝试执行该地址处的指令是,将发生EXCEPTION_BREAKPOINT异常.

调试器就是利用该异常实现断点功能. 设置断点时会将该位置设置为0xCC(int 3) 但是为了方便代码可读性,并不会显示出来(仍然是最开始的指令).

  • EXCEPTION_ILLEGAL_INSTRUCTION ( 0xC000001D )

CPU遇到无法解析的指令时引发该异常,比如"0FFFF"指令在x86CPU中未定义,CPU遇到该指令将引发EXCEPTION_ILLEGAL_INSTRUCTION异常.

  • EXCEPTION_INT_DIVIDE_BY_ZERO ( 0xC0000094 )

整数除法运算中,若分母为0,则引发EXCEPTION_INT_DIVIDE_BY_ZERO异常

  • EXCEPTION_SINGLE_STEP ( 0x80000004 )

单步的含义是执行一条指令,然后暂停.CPU进入单步模式后,每执行一条指令就会引发EXCEPTION_SINGLE_STEP异常,暂停运行.将EFLAGS寄存器的TF位设置为1后,CPU就会进入单步模式

(2) 异常编码对照表
异常 描述
EXCEPTION_ACCESS_VIOLATION 0xC0000005 程序企图读写一个不可访问的地址时引发的异常。例如企图读取0地址处的内存。
EXCEPTI
最低0.47元/天 解锁文章
lonmar~
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调试技术总结,全面
12-03
调试技术总结调试技术总结调试技术总结
动态调试技术
寻梦&之璐
01-27 2207
异常 SEH Windows操作系统中的一些典型异常 EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) EXCEPTION_SINGLE_STEP (0x80000004) EXCEPTION_ACCESS_VIOLATION (0xC0000005) EXCEPTION_IN_PACE_ERROR (0xC0000006) EXCEPTIO
调试技术总结: 静态
fa1c4的blog
03-24 512
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 调试 调试 调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态调试技术来分类. 静态调试技术 通过探测调试状态来调试. 动态调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态调试 检测调试状态的方法主要有, 调试器检测法, 调试环境检测, 强制隔离调试器等. 破解方
调试技术 linux,动态调试技术
weixin_31014835的博客
05-16 344
一、异常1. SEH2. SetUnhandledExceptionFilter()进程中发生异常,若SEH未处理或者注册的SEH不存在,此时会调用执行系统的kernel32!UnhandledExceptionFilter()API.该函数内部会运行系统的最后一个异常处理器(名为Top Level Exception Filter或Last Exception Filter).系统最后的异常处理...
安卓应用加固之动态调试技术总结
08-25 1808
0x00 前言 动态调试是比静态分析更为高效地一种破解手段。因此在破解安卓应用之前,一般会先对应用进行动态调试,了解应用大致运行流程和各个类之间的逻辑关系。 动态调试可以从以下两个个方向着手: 1.运行环境检测:检测应用的运行环境是否安全,是否可能存在被调试的风险 2.动态调试指令检测:检测应用的运行过程中是否受到动态调试指令的控制 本文完全参考自网友 爱吃菠菜 的...
逆向学习笔记(4)——动态调试技术
谈成(C/C++)
04-12 738
1.SEH异常处理 windows中存在许多的异常处理类型,如下: EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) 断点异常 EXCEPTION_SINGLE_STEP (0x80000004) 单步执行 EXCEPTION_ACCESS_VIOLATION (0x8000000
Linux调试小记(一)
博客
05-08 578
在编写Linux程序过程中,考虑到自己写的程序可能会被别人调试,因此对Linux的调试技术进行了一些研究,这里一共总结了9种方法,我将分三篇文章对这些方法进行说明。当然了,如果在这个过程中你有更好的、更加新颖的思路与方法,欢迎交换。现在开始进入正题啦。 一、忽略int3指令 我们知道,X86从它的第一代产品8086开始就提供了int 3作为它的调试指令,int 3又叫做断点指令,专门用来给调试器使用。那么如果这样的话,很容易就能够联想到,要调试,只要插入int 3来迷惑调试器即可。但是这会影响正常的
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
异常崩溃码对照
weixin_30889885的博客
04-27 1139
硬件异常即由CPU引发的异常,Windows定义了以下的硬件异常代码:    异常 值 描述 EXCEPTION_ACCESS_VIOLATION 0xC0000005 程序企图读写一个不可访问的地址时引发的异常。例如企图读取0地址处的内存。 EXCEPTION_ARRAY_BOUNDS_EXCEEDED 0xC000008C 数组访问越界时引发的...
<逆向工程核心原理> 动态调试技术总结
zhangmiaoping23的专栏
03-24 3868
1.异常-SEH #include "stdio.h" #include "windows.h" #include "tchar.h" void AD_BreakPoint() { printf("SEH : BreakPoint\n"); __asm { // install SEH push handler push DWO
调试技术总结-概览图
08-24
总结常见的大部分调试技术,不包括高级技术,大牛请绕道
三位数字电容表说明书
04-13
课程设计是运用自己所学的数字电子技术、模拟电子技术知识,根据老师所给课程设计题目,自行分组(每组3-4人)来设计、搭接、调试电路,使其实现所给题目要求的功能、量化指标等参数,三周内上交电路,老师通过对...
Hadoop硬实战 [(美)霍姆斯著][电子工业出版社][2015.01]_PDF电子书下载 带书签目录 高清完整版.rar )
12-08
1.3 本章小结 第2 部分 数据逻辑. 2 将数据导入导出Hadoop. 2.1 导入导出的关键要素 2.2 将数据导入Hadoop . 2.2.1 将日志文件导入Hadoop 技术点1 使用Flume 将系统日志文件导入HDFS 2.2.2 导入...
亮剑.NET深入体验与实战精要2
04-02
本章小结 77 第2章 细节决定成败 79 2.1 Equals()和运算符==的区别 80 2.2 const和readonly的区别 82 2.3 private、protected、public和internal的区别 86 2.4 sealed、new、virtual、abstract与override 87 2.5 ...
常见静态调试技术总结
lonmar的博客
06-24 1048
静态调试技术 PEB:BeingDebugged/Ldr /ProcessHeap /NtGlobalFlag NtQueryInformationProcess:ProcessDebugPort/ProcessDebugObjectHandle/ProcessDebugFlags TLS ETC
0day学习笔记(3)Windows定位API引起的惨案(原理)
lonmar的博客
02-11 607
主要是windows定位API的一些前奏知识
PE文件学习(1)DOS和NT
lonmar的博客
02-11 588
大致结构 dos头和NT头之间通常还有个DOS Stub DOS头 DOS头的作用是兼容MS-DOS操作系统中的可执行文件 一般没啥用 记录着PE头的位置 DOS头定义部分 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic ...
0day笔记(1)PE文件格式与虚拟文件内存的映射
lonmar的博客
02-07 274
PE文件格式 PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被存放在不同的节中。 一个典型的 PE 文件中包含的节如下: .text 存放着二进制的机器代码 .data 初始化的数据块,如宏定义、全局变量、静态变量等。 .idata 可执行文件所使用的动态链接库等外来函数与文件的信息。 .rsrc 存放程序的资源,如图标、菜单等。 除此以外,还可能出现的节包括“....
windows调试
最新发布
11-08
Windows调试是指在Windows操作系统上,通过各种手段来防止调试器对程序的调试常见调试手段包括窗口检测、异常检测、代码混淆、汇编等。其中,窗口检测是一种常见调试手段,通过查找当前系统中运行的程序窗口名称是否包含敏感程序来进行调试。常用的函数有FindWindow、EnumWindows。FindWindow可以查找符合指定类名或窗口名的窗口句柄,EnumWindows可以枚举所有顶层窗口的句柄值,并传给回调函数。除此之外,还有一些其他的调试手段,如调试代码注入、调试代码加密等。为了应对这些调试手段,调试器也会不断更新自己的技术,以保证能够正常地对程序进行调试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值