1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】
A. 反调试技术(1)
B.
BeingDebugged
Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人
实现源码为:
IsDebuggerPresent(VOID)
{
return NtCurrentPeb()->BeingDebugged;
}
这个函数读取了当前进程PEB中的BeingDebugged标志
PEB(Process Environment Block,进程环境块)是每个进程都拥有的一个结构,其中包含了大量的进程相关标志
它的地址存放在TEB(Thread Environment Block, 线程环境块)之中,而TEB的地址会被该线程的FS段寄存器
存储
换句话说,该API只是通过内存中的一个标志位来判断进程是否被调试……调试器改内存是手到擒来的事情,甚至OD还有插件可以免去手工操作的繁琐。
因此使得这个API沦为鸡肋。。。
真的是这样吗?
才不会这么简单~
在PEB中的BeingDebugged被设为True后,还会有一些其他的变化产生。
- 加载时会将PEB中的NtGlobalFlag中的一个位改变,使其值为0x70,而正常状态下不是
- 在WRK中有一个宏也会随着NtGlobalFlag的改变而在RtlCreateHeap中用RtlDebugCreateHeap创建调试堆。这个调试堆中含有大量的标志(例如0xBAAD0F0D和0xFEEEFEEE等),而正常情况下这个地