反调试—API2

已于 2024-09-29 22:33:55 修改
阅读量163 收藏 2
点赞数 8
分类专栏: 反调试 文章标签: windows 汇编
于 2024-09-29 22:22:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/142641828
版权

对比程序名称:

#include <windows.h>
#include <iostream>
#include <TlHelp32.h>

BOOL CheckProcessName()
{
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 pe32 = { 0 };
	pe32.dwSize = sizeof(PROCESSENTRY32);
	while (Process32Next(hSnap, &pe32))
	{
		/*if (wcscmp(pe32.szExeFile,L"x32dbg.exe") == 0)
		{
			return TRUE;
		}*/
		if (wcsstr(pe32.szExeFile, L"dbg") != 0)
		{
			return TRUE;
		}
	}
	return FALSE;
}

bool _stdcall ThreadCall()
{
	while (true)
	{
		if (CheckProcessName())
		{
			printf("debug\n");
			system("pause");
			exit(0);
		}
	}
}

int main()
{
	HANDLE ret = CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)ThreadCall, NULL, 0, NULL);
	system("pause");
	TerminateThread(ret,0);
	return 0;
}

查找顶层窗口名称:

BOOL CheckWindowsTitle()
{
	HWND hWnd = FindWindow(NULL, L"x32dbg");
	if (hWnd != NULL)
	{
		printf("debug\n");
		system("pause");
		exit(0);
	}
}

遍历顶层窗口模糊对比:

#include <windows.h>
#include <iostream>
#include <TlHelp32.h>
#include <vector>
#include <processthreadsapi.h>

BOOL TraversalTopWnd(std::vector<HWND>& vec)
{
	vec.clear();
	HWND hWnd = GetTopWindow(0); //获取当前所有顶级窗口的同级顶部窗口
	while (hWnd)
	{
		if (GetParent(hWnd) == 0)//判断这个窗口是不是有父窗口
		{
			vec.push_back(hWnd);//没有父窗口,就代表自己最吊,压入
		}
		hWnd = GetWindow(hWnd, GW_HWNDNEXT);//遍历同级窗口的下一个顶级窗口
	}
	return TRUE;//循环压入这些真顶级窗口
}

BOOL CheckWindows()
{
	std::vector<HWND> vec;
	TraversalTopWnd(vec);
	WCHAR szWindowName[MAX_PATH] = { 0 };
	for (HWND tmp : vec)//遍历 vec 向量中的每一个 HWND 元素,并将每个元素赋值给 tmp
	{
		GetWindowText(tmp, szWindowName, MAX_PATH);
		if (wcsstr(szWindowName, L"dbg") != NULL)
		{
			return TRUE;
		}
	}
	return FALSE;
}

bool _stdcall ThreadCall()
{
	while (true)
	{
		if (CheckWindows())
		{
			printf("debug\n");
			system("pause");
			exit(0);
		}
	}
}

int main()
{
	HANDLE ret = CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)ThreadCall, NULL, 0, NULL);
	system("pause");
	TerminateThread(ret,0);
	return 0;
}

INT 3 异常:

BOOL CheckException()
{
	__try
	{
		_asm int 3;
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		return FALSE;
	}
	return TRUE;
}

就后面的几个异常而言:程序不挂调试器,是不会产生异常的,只是无效操作(你的代码产生的错误,不够发生异常,并不是不挂就永远不会异常)。挂了调试器就会抛出异常(内核抛)调试器和操作系统内核的协作,是挂调试器时看到异常行为的根本原因,调试器接受异常,由于调试器只能处理断点异常,所以调试器有会把异常还给程序的异常处理模块,所以执行了return TRUE;

如果不挂调试器,程序要执行__except块,必须在抛一个异常(throw)或者代码错误足够产生异常才会进入,不然永远不会进去__except块

互斥体异常:

BOOL CheckSetHandleInformation()
{
	HANDLE hMutex = CreateMutex(NULL, FALSE, L"123");
	if (hMutex != INVALID_HANDLE_VALUE)
	{
        //设置互斥体对象不能被关闭
		SetHandleInformation(hMutex, HANDLE_FLAG_PROTECT_FROM_CLOSE, HANDLE_FLAG_PROTECT_FROM_CLOSE);
		__try
		{
			CloseHandle(hMutex);
		}
		__except (EXCEPTION_EXECUTE_HANDLER)
		{
			return TRUE;
		}
	}
	return FALSE;
}

NTClose异常:

BOOL CheckNtClose()
{
	typedef  NTSTATUS(WINAPI* FnNtClose)(
		HANDLE Handle
		);
	FnNtClose func = (FnNtClose)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtClose");
	__try
	{
		func((HANDLE)(0x99999999));
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		return TRUE;
	}
	return FALSE;
}

复制句柄异常:

BOOL CheckDuplicateHandle()
{

	__try
	{
		HANDLE hTarget, hTarget2;
        //复制一个本地句柄
		DuplicateHandle((HANDLE)-1, (HANDLE)-1, (HANDLE)-1, &hTarget, NULL, FALSE, DUPLICATE_SAME_ACCESS);
        //设置这个句柄不能关闭
		SetHandleInformation(hTarget, HANDLE_FLAG_PROTECT_FROM_CLOSE, HANDLE_FLAG_PROTECT_FROM_CLOSE);
        //又复制一个句柄并关闭源句柄,产生异常
		DuplicateHandle((HANDLE)-1, (HANDLE)hTarget, (HANDLE)-1, &hTarget2, NULL, FALSE, DUPLICATE_CLOSE_SOURCE);
		return false;
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		return TRUE;
	}
}

判断父进程:

DWORD GetParentProcessID(DWORD dwProcessId)
{
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 pe32 = { 0 };
	pe32.dwSize = sizeof(PROCESSENTRY32);
	while (Process32Next(hSnap, &pe32))
	{
		if (dwProcessId == pe32.th32ProcessID)
		{
			return pe32.th32ParentProcessID;
		}
	}
}

DWORD GetProcessIdForProcessName(const WCHAR * szProcessName)
{
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 pe32 = { 0 };
	pe32.dwSize = sizeof(PROCESSENTRY32);
	while (Process32Next(hSnap, &pe32))
	{
		if (wcscmp(szProcessName, pe32.szExeFile) == 0)
		{
			return pe32.th32ProcessID;
		}
	}
}


BOOL CheckParentProcess()
{
	DWORD dwProcessId = GetCurrentProcessId();
	DWORD dwParentProcessId = GetParentProcessID(dwProcessId);
	DWORD dwExplorerId = GetProcessIdForProcessName(L"explorer.exe");
	if (dwParentProcessId != dwExplorerId)
	{
		return TRUE;
	}
	return FALSE;
}

硬件断点:

BOOL CheckDRRegister()
{
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	THREADENTRY32 th32 = { 0 };
	th32.dwSize = sizeof(THREADENTRY32);
	while (Thread32Next(hSnap, &th32))
	{
		if (th32.th32OwnerProcessID == GetCurrentProcessId())
		{
			HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, th32.th32ThreadID);
			CONTEXT ctx;
			ctx.ContextFlags = CONTEXT_ALL;
			GetThreadContext(hThread, &ctx);
			if (ctx.Dr0 != 0 || ctx.Dr1 != 0 || ctx.Dr2 != 0 || ctx.Dr3 != 0)
			{
				return TRUE;
			}
		}
	}
	return FALSE;
}

向你扔鸡爪
关注
专栏目录
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
调试技术
11-04
使用 Windows API 函数检测调试器是否存在是最简单的调试技术。Windows 操作系统中提供了这样一些 API,应用程序可以通过调用这些 API,来检测自己是否正在被调试。这些 API 中有些是专门用来检测调试器的存在的,...
r3调试
liuhaidon1992的博客
01-08 2088
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
利用TLS调试
qq_43147121的博客
08-22 755
今天说一下利用TLS提供的静态绑定回调函数来调试
调试调试
cyynid的博客
05-05 1144
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
Android调试检测
re_psyche的博客
09-07 2716
java层保护 1 代码混淆 apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。 这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(...
调试技术 linux,动态调试技术
weixin_31014835的博客
05-16 375
一、异常1. SEH2. SetUnhandledExceptionFilter()进程中发生异常,若SEH未处理或者注册的SEH不存在,此时会调用执行系统的kernel32!UnhandledExceptionFilter()API.该函数内部会运行系统的最后一个异常处理器(名为Top Level Exception Filter或Last Exception Filter).系统最后的异常处理...
C/C++ 调试与绕过手法
CSDN
09-13 5501
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的调试基础的实现原理以及如何过掉这些调试手段,从而让我们能够继续分析恶意代码。
这些调试API技巧你熟悉吗?
u013655559的博客
11-23 1415
通常,我们在调试第三方提供的API时,有时候并没那么顺畅,甚至可能本身就是API服务有问题,但是需要提供你结论的"依据"。下面整理了一些API调试技巧,也方便你甩锅简单来说分为以下两点接下来用接口管理工具Apifox来演示如何运用接口可视化工具来定位接口问题。
LyScript 实现绕过调试保护
热门推荐
CSDN
08-12 1万+
LyScript插件中内置的方法可实现各类调试以及屏蔽特定API函数的功能,这类功能在应对病毒等恶意程序时非常有效,例如当程序调用特定API函数时我们可以将其拦截,从而实现保护系统在调试时不被破坏的目的。
win32调试api
Night May Say
03-20 1136
来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程的内存、线程的运行环
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用调试技术。本篇文章将深入探讨调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术。 调试技术主要目标是检测调试器的...
易语言源码易语言调试模块源码.rar
02-18
2. **代码混淆**:为了使调试更加困难,调试模块会采用代码混淆技术,使得代码难以理解和跟踪。这可能包括改变指令顺序、使用自定义编码或加密、嵌入无效指令等手段。 3. **钩子检测**:调试器常用的一种方法是...
.NET下的终极调试
12-23
### .NET下的终极调试详解 #### 前言 .NET环境下的调试技术一直备受关注,特别是针对那些需要在运行时避免被调试的应用场景。本文将深入探讨一种被称为“终极调试”的方法,该方法由0xd4d提出并实践,通过一...
C语言进阶之泛型列表(Generic List)
2402_83795905的博客
09-26 494
c语言进阶之泛型列表,领略指针的魅力!!!
Linux基础入门 --13 DAY(SHELL脚本编程基础)
最新发布
alwtj的博客
09-30 422
1.shell支持算数运算,但只支持整数,不支持浮点数2.bash中的算数运算符% 取模** 乘方。
【Java】Java 8 Stream API
鹏啊鹏
09-30 626
Stream 是对数据源(如集合、数组等)元素的序列化抽象,支持许多操作,如过滤、排序、映射等。sorted 方法对流中的元素进行自然排序,或者你可以传递一个自定义的比较器(Comparator)。(中间操作):一系列可以连接起来的操作,比如 filter、map、flatMap 等,这些操作不会执行任何处理,而是生成一个新的流。(终端操作):会触发之前所有的中间操作,并且产生结果,如 collect、forEach、reduce 等。(流):是一个来自某种数据源的元素队列,它支持连续的管道式操作。
【hot100-java】【二叉树的层序遍历】
m0_73629042的博客
09-30 310
【代码】【hot100-java】【二叉树的层序遍历】
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值