IsDebuggerPresent学习

最新推荐文章于 2022-10-29 13:36:57 发布
最新推荐文章于 2022-10-29 13:36:57 发布
阅读量9.9k 收藏 1
点赞数
文章标签: 数据结构 winapi c byte vpn 汇编
今天在Win7下分析Hamachi VPN Client的时候用windbg挂载之,弹出了一个Win32 on5的错误,由于调试方面很生疏,以为是使用了什么反调试的技术。放IDA中查看导入函数,看到了IsDebuggerPresent,以为是这个东西在作怪,最后发现这个错误很愚蠢,刚使用Win7没多久,一直不习惯使用右键里的管理员权限运行,点右键以管理员权限运行windbg之后F6挂上去就可以开始了。下面开始进入主题吧。

 

 ===============================

函数的原型可以从连接http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx或者,如下所示:

BOOL WINAPI IsDebuggerPresent( void );


这个函数的用途就是用来检查程序是否在ring 3调试器中运行。关于这个函数google出来一大把的文章,这个函数很被鄙视~~~~


我自己写了一个hello world的小程序来调试调试,程序代码如下:

#include <windows.h>

#include <stdio.h>

#define _WIN32_WINNT 0x0500

int main( void ) 

{

bool isDebugged;

while ( true ) {

isDebugged = IsDebuggerPresent();

             if ( isDebugged ) {

printf( "[-] kao, go away!\n" );

exit( -1 );

}

printf( "[+] Hello World!\n" );

}

return 0;

}

这个程序的目的是在console下输出hello world,如果程序没有在调试器中运行,使用了一个死循环,一直在hello world,

如果检查到程序在调试器中,程序就会退出。

接下来,我们的任务就是娱乐下可怜的hello  world,让它以为没有人在调戏它。

 

=======================================

调试过程:

=========

第一步:先让cmd下让hello world跑起来,可以在控制台下看到它不知疲倦的一直在hello world。

第二步:打开windbg  attach到这个程序

这个时候,程序会被断下来:

ntdll!DbgBreakPoint:

7c92120e cc              int     3

 

现在可以给IsDebuggerPresent函数下断点了;

bp  Kernel32!IsDebuggerPresent

现在可以用bl查看下断点,应该设置好了断点。

输入g,程序会在IsDebuggerPresent的入口处停下来

查看汇编代码:

7c813132 90              nop

kernel32!IsDebuggerPresent:

7c813133 64a118000000    mov     eax,dword ptr fs:[00000018h] fs:003b:00000018=7ffdf000

7c813139 8b4030          mov     eax,dword ptr [eax+30h]

7c81313c 0fb64002        movzx   eax,byte ptr [eax+2]

7c813140 c3              ret

7c813141 90              nop

7c813142 90              nop

红色的代码就是这个函数的实现了。

我们现在可以用p单步步过这几条指令,会到用户空间。

0040102f 7448            je      antidebug!main+0x69 (00401079)

00401031 8bf4            mov     esi,esp

00401033 ff153c514200    call    dword ptr [antidebug!_imp__IsDebuggerPresent (0042513c)]

00401039 3bf4            cmp     esi,esp

现在可以查看下eax的值为1,说明程序是在被调试的。

接下来,我们可以选择修改eax的值,这样这一轮循环,可以正常的输出hello world了,但下一次又需要重复这个过程了。

另一选择就是在内存中抹掉对这个函数的调用,从上面蓝色的指令行可以知道内存0x401033地址处开始的连续6个字节中存储了对这个函数调用的opcode。

我们可以用以下指令修改这6个字节 

ew 0x401033 0xc031 修改内存

ew 0x401035 0xc031

ew 0x401037 0xc031

0xc031 为xor  eax, eax的opcode。

再用reax=0修改eax的值。

bc 0 去掉断点,现在g一下,就可以看到永不知疲倦的hello world了。

这个方法虽然管用,但是很野蛮、暴力,我们还有另一个更好的选择。

现在我们再回来看看IsDebuggerPresent函数的实现。 

7c813133 64a118000000    mov     eax,dword ptr fs:[00000018h] fs:003b:00000018=7ffdf000

7c813139 8b4030          mov     eax,dword ptr [eax+30h]

7c81313c 0fb64002        movzx   eax,byte ptr [eax+2]

7c813140 c3              ret

Windows为每一个运行的进程在用户空间建立了一个进程环境块peb,我们可以用dt _peb来查看下这个数据结构,

每个进程默认有一个主线程,在用户空间为每一个线程建立一个线程环境块teb,同样也可以用dt _teb来查看下下这个数据结构。

其实teb据说以前叫tib,后来改名为teb了,但在数据结构的定义中teb的第一个元素就是tib,tib应该是win98时候的名称,

后来可能扩展了,改名为teb,但teb第一个包含了tib,使得它跟以前的tib兼容。

tib便宜0x18的地方有一个指针 self,这个指针指向了tib的起始地址,其实tib的起始地址就是teb的起始地址,所有从

这个指针我们就可以知道teb的起始地址了,从teb的数据结构中可以知道teb便宜0x30的地方也有一个指针,这个指针说明了

该线程是属于哪一个进程拥有的,指向了peb的起始地址,在从peb的数据结构中可以知道peb便宜0下的地方有一个变量,

:001> dt _peb 7ffd7000

ntdll!_PEB

   +0x000 InheritedAddressSpace : 0 ''

   +0x001 ReadImageFileExecOptions : 0 ''

   +0x002 BeingDebugged    : 0x1 ''

   +0x003 SpareBool        : 0 ''

这个标红的变量指明了进程是否是出于被调试状态。本质上IsDebuggerPresent就是检查了这个变量。
fs总是指向当前运行的线程的teb,现在应该很好理解IsDebuggerPresent的实现了,接下来我们就可以用eb直接修改BeingDebugged变量了。
到次关于IsDebuggerPresent的讨论应该可以暂时告一段落了。
whatday
关注
gao定反调试机制之IsDebuggerPresent和进程枚举
ChuMeng1999的博客
11-09 850
目录预备知识1.关于Immunity Debugger2.IsDebuggerPresent3.进程枚举4.FS寄存器的某些偏移的含义,及TEB,PEB实验目的实验环境实验步骤一实验步骤二 预备知识 1.关于Immunity Debugger 位于迈阿密的专业渗透测试技术公司immunity发布了一种新的工具。这种工具能够加快编写利用安全漏洞代码、分析恶意软件和二进制文件逆向工程等过程的速度。这个名为“debugger”的调试工具。immunity称,这个调试工具能够帮助研究人员和渗透测试人员把制作利用安全
反调试学习
haodawei123的博客
12-18 233
1、PEB反调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
反调试学习——IsDebuggerPresent
weixin_41693985的博客
05-31 1307
IsDebuggerPresent ***IsDebuggerPresent***的作用是检测自身进程是否处于调试状态,如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 写了个小程序试验绕过: 绕过目前我自己有两种思路: 1.在判断处做改变 2.在 IsDebuggerPresent做改变 代码如下: if (IsDebuggerPresent()) { MessageBox(TEXT("有调试器在调试!")); } else { MessageBox(T
常见反调试手段及其规避方法(一)-IsDebuggerPresent
weixin_34198797的博客
05-06 3536
2019独角兽企业重金招聘Python工程师标准>>> ...
反调试之IsDebuggerPresent()分析
sanqiuai的博客
08-04 829
哪个DLL导出了该函数? 查MSDN可知 学习一个函数最好的方式是在自己的程序里面调用该函数,并分析自己的程序,我用c写了一个简单的程序,函数不断循环打印“I am running…”,并不断检查是否程序被调试,如果程序被调试,则输出“软件正在被调试”,然后退出 如何找到main函数 打开OD附加调试 ...
IsDebuggerPresent官方出处
lixiangminghate的专栏
02-16 935
在前面我的博文一步一步简单的保护我们的代码中 http://blog.csdn.net/lixiangminghate/article/details/43153263 提到了动态监测进程是否被调试。此间用到了Win Api IsDebuggerPresent。很可惜,某些系统没有导出该函数,因此,在那篇博文中用汇编模拟了这个API的实现。         今天看reactos033异常处理相关
逆向学习笔记(1)
谈成(C/C++)
04-12 280
1.TLS回调函数 1)TLS回调会在线程的创建和销毁时被调用,常用来做反调试。 2)TLS回调函数位于IMAGE_DATA_DIRECTORY[9](数据目录)的位置,即TLS table,与导入导出表类似。 3)其中TLS table结构是IMAGE_TLS_DIRECTORY。而其中的AddressOfCallback则表示回调函数地址的数组,也就是说可能会有多个TLS回调函数。 4)TLS回调函数定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(
【逆向学习笔记1】攻防世界新手逆向题
weixin_45927195的博客
03-03 1741
1.Hello,CTF 拿到文件先运行一下。发现不管输入什么都是wrong,同时程序循环输出“please input your serial:”。需要找到一个正确答案。 用ida(32位)打开文件进行分析,大概流程是输入的字符串转换后若与v13相同,则success。其中关键的转换函数sprintf,指的是字符串格式化命令,主要功能是把格式化的v4写入v8中。 点开其参数asc_408044...
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 639
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
关于IsDebuggerPresent
weixin_30686845的博客
05-30 130
  关于IsDebuggerPresent()函数的文章已经数不胜数了,随便一搜就能找出一堆来,但是我还是准备写一份放在这里,算是留个备份吧。   微软给我们提供了一个API函数用来检测当前程序是否正在被调试,这就是可怜的IsDebuggerPresent() ,这个函数的存在似乎只是为了证明在Windows的世界里确实存在一个最杯具的API函数……这个函数的实现很简单,直接windbg查看一下...
反调试-----由IsDebuggerPresent函数看下去
kezhen的专栏
11-08 1832
通过已知的函数研究反调试也许能学到些东西,先示例下简单的函数IsDebuggerPresent ? 在OD下看看IsDebuggerPresent的实现: mov eax,dword ptr fs:[18]  ?fs:[18]是什么?网搜一下,发现是TIB(Win 32 Thread Information Block)或TEB存贮的指向自身的线性指针(地址),详情可以参考:http:
软件防破解方法大全 IsDebuggerPresent
VxD
03-12 3702
有比cracker更加了解破解所在吗?所以就让我这个cracker来谈谈软件保护的方法。本文基于borland c++6.0调试通过。你最好懂点内联汇编。如有错误告诉我。我家里没有上网,手头的开发资料只有borland的帮助文档(其实很不错)。首先是anti    OD。1、IsDebuggerPresent   BOOL IsDebuggerPresent(VOID)   这个函数相信大家用得最
IDA 教程-隐藏 IDA 调试器
eqera的专栏
11-29 8061
一个隐藏 IDA 调试器的小技巧 很多 IDA 使用者都向我索要一个可以隐藏调试器的插件或功能。事实上,有很多反调 试的手段,而针对每一种反调试的手段都需要对应一种处理方法。我们先从一些简单的开始, 我们的目的是让 IsDebuggerPresent 函数始终返回 0 值。 当一个调试器处于运行状态时,我们可以在反汇编窗口使用”go to the specified address”
反调试技术- IsDebuggerPresent原理 与 反反调试
最新发布
qq_51600802的博客
10-29 367
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。
《脱壳艺术》学习笔记--IsDebuggerPresent 检测调试器
FISH 的专栏
01-21 2170
  《脱壳艺术》学习笔记 1  时间:2008年2月20日星期三,9时47分26秒 IsDebuggerPresent 检测调试器 新建 vc++ console项目,采用Windbg 调试:(1)  启动 windbg 用户级调试(2)  设置调试符号路径(3)  bp main ,main 函数处下断(4)  F5 ,断点命中(6) 在 wi
反调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 675
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
5.windbg script-禁用IsDebuggerPresent(调试 kernel32!SetUnhandledExceptionFilter)
hgy413的专栏
07-08 1817
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32
CTF逆向之isDebuggerPresent反调试函数
weixin_43575859的博客
12-03 1092
今天碰到一个题目,用od调试的时候总会莫名奇妙地自己退出,最后查百度才知道原来里面有个反调试函数 题目是一个windows下的可执行文件 先直接运行程序看一下 居然直接出现了一个flag窗口,但是里面的flag却是乱码。这里猜想程序可能对真正的flag进行了加密。 拖到peid中发现没有壳 先拖入ida静态分析 我们可以看到程序的第16行有一个MessageBoxA函...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值