逗比逆向之路.day2

于 2021-07-23 22:17:15 发布
阅读量149 收藏
点赞数
分类专栏: 逗比逆向之路 文章标签: 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45963786/article/details/119031211
版权

反反调试技术

潜心修炼,从基础开始

反反调试技术即防止程序设计者使用特定语句避免被调试的技术

1.针对似IsDebuggerPresent这类反调试

通过OD修改内存PEB的值来绕过检测

  • FS寄存器指向当前活动线程的TEB结构(线程结构)

  • FS:base -> TEB(线程环境块) 11C5000 + 30H = 11C5030

  • TEB+30h -> PEB(进程环境块) 11C5030 -> 11C2000

  • PEB+02H -> BeingDebugged 11C2002

  • PEB+68H -> NtGlobalFlag 11C2068

修改方法

例题在这里插入图片描述
开发者设计了反调试,如果OD打开运行,输出错误。
在这里插入图片描述

记录FS:base的值,并将内存跳转至该地址
在这里插入图片描述
0xD31000+0x30即为PEB(进程环境块)的地址
由于是小端存储,地址为:0x00D2E000
在这里插入图片描述

  • PEB+02H -> BeingDebugged
  • PEB+68H -> NtGlobalFlag

将以上两个地址均修改为0,再次运行程序
在这里插入图片描述

正常运行

2.TLS反调试

例题:
打开IDA->通过Crtl + E->找到TLS函数位置
在这里插入图片描述

void __stdcall TlsCallback_0_0(int a1, int a2, int a3)
{
  struct _STARTUPINFOW StartupInfo; // [esp+D0h] [ebp-4Ch] BYREF

  __CheckForDebuggerJustMyCode(&unk_41C035);
  GetStartupInfoW(&StartupInfo);
  if ( !StartupInfo.dwX
    && !StartupInfo.dwY
    && !StartupInfo.dwFillAttribute
    && (StartupInfo.dwXSize || StartupInfo.dwYSize || StartupInfo.dwXCountChars || StartupInfo.dwYCountChars) )
  {
    exit(0);
  }
}

发现检查调试函数,查看反汇编代码
在这里插入图片描述
判断调试,跳转0x4117EF地址,退出程序,如果非调试状态跳转至0x411800继续执行程序
在这里插入图片描述
修改jnz 命令的参数,即内存偏移量

偏移量=目标地址-当前地址-命令长度

0x411800 - 0x4117D8 - 2 = 23

int __cdecl main_0(int argc, const char **argv, const char **envp)
{
  char v4; // [esp+0h] [ebp-CCh]
int sub_4153E0()
{
  HMODULE v1; // eax
  BOOL i; // [esp+190h] [ebp-2A8h]
  HANDLE hSnapshot; // [esp+19Ch] [ebp-29Ch]
  PROCESSENTRY32W pe; // [esp+1A8h] [ebp-290h] BYREF
  NTSTATUS (__stdcall *NtQueryInformationProcess)(HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG); // [esp+3DCh] [ebp-5Ch]
  DWORD dwProcessId; // [esp+3E8h] [ebp-50h]
  char v7[20]; // [esp+3F4h] [ebp-44h] BYREF
  int v8; // [esp+408h] [ebp-30h]
  HANDLE v9; // [esp+414h] [ebp-24h]
  int v10; // [esp+420h] [ebp-18h]
  NTSTATUS v11; // [esp+42Ch] [ebp-Ch]

  __CheckForDebuggerJustMyCode(&unk_41C035);
  v10 = 0;
  dwProcessId = getpid();
  v9 = OpenProcess(0x400u, 0, dwProcessId);
  if ( !v9 )
    return -1;
  v1 = GetModuleHandleA("ntdll");
  NtQueryInformationProcess = (NTSTATUS (__stdcall *)(HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG))GetProcAddress(v1, "NtQueryInformationProcess");
  v11 = NtQueryInformationProcess(v9, ProcessBasicInformation, v7, 24, 0);
  pe.dwSize = 556;
  hSnapshot = j_CreateToolhelp32Snapshot(2u, 0);
  if ( hSnapshot == (HANDLE)-1 )
    return 0;
  for ( i = j_Process32FirstW(hSnapshot, &pe); i; i = j_Process32NextW(hSnapshot, &pe) )
  {
    if ( v8 == pe.th32ProcessID )
    {
      wcscmp(pe.szExeFile, L"explorer.exe");
      CloseHandle(hSnapshot);
      return 1;
    }
  }
  return CloseHandle(hSnapshot);
}

检查父程序是否为explorer.exe ,不是则输出1

通过修改汇编代码,将输出改为0

名为逗比
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值