反调试—3

已于 2025-03-27 17:27:39 修改
阅读量143 收藏
点赞数 1
分类专栏: 反调试 文章标签: 汇编 windows
于 2024-10-01 22:16:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/142673436
版权

BP函数断点检测:

bool CheckBp()
{
	PDWORD funaddr = (PDWORD)MessageBoxA;
	if (*(PBYTE)funaddr == 0xCC) //调试器下BP函数断点就是下INT 3(cc)断点
	{
		return true;
	}
	return false;
}

执行时间检测:

int main()
{
	UINT64 timeA = GetTickCount64();//把需要检测的代码放在这两函数之间
	CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)ThreadCall, NULL, 0, NULL);
	_asm {
		push eax;
		xor eax, eax;
		and eax, 1;
		add eax, 1;
		pop eax;
	}
	UINT64 timeB = GetTickCount64();
	if (timeB - timeA > 0x10)
	{
		printf("debug");
		system("pause");
		ExitProcess(0);
	}
	system("pause");
	return 0;
}

即时调试器检测:

因为有的调试器再处理一些问题时,需把自己的调试器设置即时(当应用程序发生错误时,触发哪一个调试器)。

BOOL CheckRealTimeDebugger()
{
	BOOL is_64;
	IsWow64Process(GetCurrentProcess(), &is_64);//确定指定进程是否运行在64位操作系统的32环境(Wow64)下
	HKEY hKey = NULL;
	char key[] = "Debugger";
	char reg_dir_32bit[] = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\AeDebug";
	char reg_dir_64bit[] = "SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\AeDebug";
	if (is_64)
	{
		RegCreateKeyA(HKEY_LOCAL_MACHINE, reg_dir_64bit, &hKey);//打开注册表项,hKey里面存放项的句柄
	}
	else
	{
		RegCreateKeyA(HKEY_LOCAL_MACHINE, reg_dir_32bit, &hKey);
	}
	char tmp[MAX_PATH];
	DWORD len = 256;
	DWORD type;
	RegQueryValueExA(hKey, key, NULL, &type, (LPBYTE)tmp, &len);//获取注册表项的值,具体要获取哪个值放在key里面,获取的东西放在tmp里面
	if (strstr(tmp, "X64dbg") != NULL|| strstr(tmp, "OllyDBG") != NULL|| strstr(tmp, "WinDbg") != NULL)
	{
		return TRUE;
	}
	else
	{
		return FALSE;
	}
}

CRC32代码段检测:

第一次把代码段生成一个CRC32的校验值(保存起来),后面一直循环生成,如果改了代码段,两值一比较不对,就是调试了。

int crc32_table[256];
//生成具有256个元素的CRC32表
void Crc_Make_Table()
{
	int crc = 0;
	for (int i = 0; i < 256; i++)
	{
		crc = i;
		for (int j = 0; j < 8; j++)
		{
			if (crc & 1)
				crc = (crc >> 1) ^ 0XEDB88320;        //CRC32多项式的值,也可以是04C11DB7
			else
				crc >>= 1;
		}
		crc32_table[i] = crc;
	}
}

//根据CRC32数据表来计算字符串或者文件的CRC32值
int Calc_Crc32(char* data, int len)
{
	int crc = 0XFFFFFFFF;   //CRC初值是-1,即0XFFFFFFFF
	for (int i = 0; i < len; i++)
	{
		crc = crc32_table[(crc ^ data[i]) & 0XFF] ^ (crc >> 8);
	}
	return !crc;
}


DWORD GetTextAddrAndSize(int* pTextSize)
{
	HMODULE hModule = GetModuleHandle(NULL);
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)hModule;
	PIMAGE_NT_HEADERS32 pNt = (PIMAGE_NT_HEADERS32)(pDos->e_lfanew + (DWORD)pDos);
	int secNum = pNt->FileHeader.NumberOfSections;
	PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(pNt);
	for (size_t i = 0; i < secNum; i++)
	{
		if (strcmp((const char*)pSectionHeader->Name, ".text") == 0)
		{
			*pTextSize = pSectionHeader->Misc.VirtualSize;
			return pSectionHeader->VirtualAddress + (DWORD)hModule;
		}
		pSectionHeader++;
	}
}

BOOL bFrist = TRUE;
DWORD dwCrc32 = 0;
DWORD dwTextAddr = 0;
int dwTextSize = 0;

BOOL CheckCrc32()
{
	if (bFrist)
	{
		dwTextAddr = GetTextAddrAndSize(&dwTextSize);
		Crc_Make_Table();
		dwCrc32 = Calc_Crc32((char*)dwTextAddr, dwTextSize);
		bFrist = FALSE;
		return FALSE;
	}
	else
	{
		int tmpdwCrc32 = Calc_Crc32((char*)dwTextAddr, dwTextSize);
		if (tmpdwCrc32 != dwCrc32)
		{
			return TRUE;
		}
		else
		{
			return FALSE;
		}
	}
}

TLS检测:

#include <iostream>
#include <Windows.h>
#pragma comment(linker,"/INCLUDE:__tls_used")

//TLS 线程局部存储 Thread Local Save
//TLS执行时机是在main函数前面的

VOID
NTAPI TlsCallBack(
	PVOID DllHandle,
	DWORD Reason,
	PVOID Reserved
)
{
    MessageBox(NULL, L"Tls", L"Success", MB_OK);
	if (IsDebuggerPresent())
	{
		ExitProcess(0);
	}
}

//注册TLS
//CRT 表示使用C Runtime 机制(运行时库)
//X表示名称随机
//L TLS CallBack
//X 随便 B-Y之间的任意字符
#pragma data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK tlsCall = TlsCallBack;
#pragma data_seg();

int main()
{
	std::cout << "Hello World!\n";
	system("pause");
	return 0;
}

自己调试自己检测:

#include <stdio.h>
#include <Windows.h>
int main()
{
	HANDLE hMutext = OpenMutex(MUTEX_MODIFY_STATE, FALSE, L"Global\\MyMutex");
	if (hMutext)
	{
		printf("run\r\n");
		system("pause");
	}
	else
	{
		CreateMutex(NULL, FALSE, L"Global\\MyMutex");
		TCHAR szPath[MAX_PATH] = {};
		GetModuleFileName(NULL, szPath, MAX_PATH);
		STARTUPINFO si = { sizeof(LPSTARTUPINFO) };
		PROCESS_INFORMATION pi = { 0 };
		//CreateProcess(szPath, NULL, NULL, NULL, FALSE, DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi);
		CreateProcess(szPath, NULL, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi);
		HWND hWnd = GetConsoleWindow();
		ShowWindow(hWnd, SW_HIDE);
		DebugActiveProcess(pi.dwProcessId);
		DEBUG_EVENT DbgEvent = { 0 };
		DWORD dwState = DBG_EXCEPTION_NOT_HANDLED;
		BOOL bExit = FALSE;
		while (!bExit)
		{
			WaitForDebugEvent(&DbgEvent, INFINITE);
			if (DbgEvent.dwDebugEventCode == EXIT_PROCESS_DEBUG_EVENT)
			{
				bExit = TRUE;
			}
			ContinueDebugEvent(DbgEvent.dwProcessId, DbgEvent.dwThreadId, dwState);
		}
		exit(0);
	}
	system("pause");
	return 0;
}

【安卓逆向】libmsaoaidsec.so反调试及算法逆向案例(爱库存)
m0_56516039的博客
12-14 1223
在 libmsaoaidsec.so 处退出,app没有结束,frida被杀掉了。成功过掉检测,一共两处线程创建的地方:0x175f8和0x16d30,函数寻找hook时机,找到创建线程的地方然后把它替换掉固然是个好方法。这个检测其实就是在加载so的时候,创建了检测线程,具体的话可以分析。这个检测在很多app中都是存在的,这个方式在其他app中不一定适用。附加frida,发现秒退,这个时候我们已经是魔改的frida。这个digest函数是调用的java层进行加密的。无套路,可读性非常高,都是字符串拼接。
Windows用户级调试器(debugger)编写框架
炎黄的专栏
02-07 2843
    这几天帮朋友做了个内存补丁,大致熟悉了一下Windows下用户级调试器(Debugger)程序编写的基本框架。做一个小小的总结,由于本人能力所限,这里只是根据MSDN的说明,给出一个大致的框架结构,还请高手批评指正。其实,要编写实际可用或是更加完善的程序,还需要学习掌握更多的技术,花费更多的努力!    我想对于Debugger不用多说什么了。我认为除了SoftIce之外,做得比较好的
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2459
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
TLS线程局部存储
dayenglish的专栏
03-01 1728
多线程程序当中,因为线程之间共享进程的数据,所以在访问全局数据的时候,可能需要加锁互斥访问。但是全局数据的互斥访问只有在多个线程之间协作进行处理的时候,才有必要。但是如果数据在各个线程之间都需要单独的副本,比如说VC CRT库当中的errno变量,我们希望这个变量仅仅由当前线程错误来设置,并且只影响当前线程,那么这种线程之间共享的副本数据该怎么实现呢? 微软提供的一种实现就是TLS(线程局部存储
r3反调试
liuhaidon1992的博客
01-08 2254
R3反调试方法非常多,且充斥着各种猥琐的方法。 1.调用API反调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
反调试技术
nareku的博客
06-21 1291
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
内核反调试
liuhaidon1992的博客
01-08 1451
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
Android下反调试与反反调试
09-19 1901
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
阿布反调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用反调试技术来保护自己的产品免受非法篡改和分析。"阿布反调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布反调试工具...
反调试OD
06-21
反调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
阿布反调试工具-2024.05.10新版
06-10
"阿布反调试工具-2024.05.10新版" 是一款专为应对软件调试而设计的应用程序,旨在保护软件不被逆向工程分析和调试。这款工具可能包含了一系列先进的反调试技术,使得调试者难以对目标程序进行深入的分析和篡改。在...
各种反调试技术原理与实例VC版_fallpx8_反调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用反调试技术。本篇文章将深入探讨反调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术。 反调试技术主要目标是检测调试器的...
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 887
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
GCC 内建函数汇编展开详解
weixin_39145568的博客
04-27 949
A. 定义与目的GCC 提供了大量的内建函数,其设计目的主要是为了优化。这些函数由编译器直接识别和处理,使得编译器能够利用其对函数语义的深刻理解来生成更高效的代码,这通常是标准库函数调用无法比拟的。编译器知道内建函数的具体行为、副作用以及可能存在的简化或特殊实现方式。例如,某些内建函数可以直接映射到目标处理器的特定高效指令。B. 与标准库函数的区别标准库函数(如printfmemcpy)通常存在于外部库(如 libc)中,有独立的函数入口点,其地址可以获取。
Python高级爬虫之JS逆向+安卓逆向1.6节: 函数基础
04-23 563
function_name表示函数名,在Python中一般使用下划线命名法来命名。parameter_list表示形参列表,形参即占位符,表示在当前这个位置需要传递参数。冒号下面的为函数体,在函数体中通过return将表达式的值返回给函数的调用方。""" 计算x,y,z中的最大值 """
Python匿名函数与内置函数较难与较冷门知识点考前速记
2303_79833354的博客
04-27 773
lambda 函数通常用于编写简单的、单行的函数,通常在需要函数作为参数传递的情况下使用,例如在 map()、filter()、sorted()、list.sort() 等函数与方法中。lambda语法格式: 是 Python 的关键字,用于定义 lambda 函数。 是参数列表,可以包含零个或多个参数,但必须在冒号()前指定。 是一个表达式,用于计算并返回函数的结果。 5.1 lambda函数用法示例 没有参数的lambda函数示例: 单个参数的lambda函数示例: 5.2
CMD与PowerShell:Windows命令行工具的对比与使用指南
最新发布
欢迎来到我的CSDN个人博客主页!
04-29 609
CMD(命令提示符)是Windows操作系统中的传统命令行解释器,起源于早期的MS-DOS操作系统。它提供了一个基于文本的界面,用户可以通过输入命令来执行各种操作。PowerShell是微软开发的更强大的命令行shell和脚本语言环境,最初发布于2006年。它基于.NET框架构建,提供了比CMD更丰富的功能和更强大的脚本能力。
Windows TLS反调试技术解析
本文档深入探讨了"TLS反调试的前世今生"这一主题,主要聚焦于Windows系统中的ThreadLocalStorage (TLS) 技术在对抗调试中的应用。TLS最初设计是为了在多线程环境下确保全局变量的安全访问,通过操作系统提供的互斥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值