180306 逆向-反调试技术(1)BeingDebugged

最新推荐文章于 2023-09-26 12:22:42 发布
最新推荐文章于 2023-09-26 12:22:42 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79656200
版权
本文探讨了Windows程序如何使用IsDebuggerPresent API检测调试状态,但指出此API容易被调试器规避。文章深入介绍了PEB和TEB结构,以及BeingDebugged标志、NtGlobalFlag变化和调试堆的创建。作者提出通过在NtGlobalFlag改变前设BeingDebugged为False,以绕过调试检测,并描述了一种在系统断点处巧妙切换BeingDebugged状态的策略。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】
A. 反调试技术(1)
B.

BeingDebugged

Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人

实现源码为:

IsDebuggerPresent(VOID)
{
    return NtCurrentPeb()->BeingDebugged;
}

这个函数读取了当前进程PEB中的BeingDebugged标志
PEB(Process Environment Block,进程环境块)是每个进程都拥有的一个结构,其中包含了大量的进程相关标志
它的地址存放在TEB(Thread Environment Block, 线程环境块)之中,而TEB的地址会被该线程的FS段寄存器存储

换句话说,该API只是通过内存中的一个标志位来判断进程是否被调试……调试器改内存是手到擒来的事情,甚至OD还有插件可以免去手工操作的繁琐。
因此使得这个API沦为鸡肋。。。
真的是这样吗?

才不会这么简单~

在PEB中的BeingDebugged被设为True后,还会有一些其他的变化产生。

  1. 加载时会将PEB中的NtGlobalFlag中的一个位改变,使其值为0x70,而正常状态下不是
  2. 在WRK中有一个宏也会随着NtGlobalFlag的改变而在RtlCreateHeap中用RtlDebugCreateHeap创建调试堆。这个调试堆中含有大量的标志(例如0xBAAD0F0D和0xFEEEFEEE等),而正常情况下这个地
最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
VB.NET 从PEB->BeingDebugged标志位判断被调试
12-09 680
说实在的我本是想从PEB中保存 调试对象句柄 的标志位判断是 否被调试的,可惜搞了个多小时也没搞定 实在算不准偏移到底 是好多、当然可以在WinDbg在DT !PEB不过真的很麻烦,我在 网上找了一些PEB结构的声明,最后我再Nirsoft.NET上找到了 一个很全面地PEB结构声明,说实在话看的我不知所云、好吧 保存调试对象句柄的标志位为 -> ULONG SystemReser
调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1667
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
8.2 BeingDebugged
最新发布
CSDN
09-26 4223
BeingDebugged 是`Windows`系统`PEB`结构体中的一个成员,它是一个标志位,用于标识当前进程是否正在被调试。BeingDebugged的值为0表示当前进程未被调试,值为1表示当前进程正在被调试。由于`BeingDebugged`是在`PEB`结构体中存储的,因此可以通过访问`PEB`结构体来获取`BeingDebugged`的值。恶意软件可以使用`BeingDebugged`来判断自己是否正在被调试,以此来防止被病毒工程师或调试程序进行分析。病毒工程师们也可以通过检查`BeingD
gdb报错(A program is being debugged already)
sun172270102的博客
05-06 1226
用 gdb attach pid 的方式将gdb挂到一个正在运行的进程上,有时会提示 A program is being debugged already. Kill it? (y or n) 可能是由于正在执行的进程对应的binary被替换了造成的。如果被替换过的binary和先前的差别不大,并且要调试的部分没有变化,可以用下面的方式做gdb attach: gdb 或者可以将先前被替换...
BeingDebugged引发的蝴蝶效应
Hu4
03-05 945
IsDebuggerPresent函数用来判断自己是否处于调试状态。 BOOL APIENTRY IsDebuggerPresent( void ) { return NtCurrentPeb()->BingDebugged; } 这个函数会读取到PEB中的BeingDebugged标志(PEB:进程环境块) PEB(Process Environment ...
180307 逆向-调试技术(2)CheckRemoteDebuggerPresent
whklhhhh的博客
03-23 1537
1625-5 王子昂 总结《2018年3月7日》 【连续第522天总结】 A. 调试技术(2) B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数,测试发现及时修改Be...
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用调试技术。本篇文章将深入探讨调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术调试技术主要目标是检测调试器的...
bouml 逆向分析c++_调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 377
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
cpp-makin揭示调试技巧
08-15
在IT行业中,尤其是在软件开发和安全领域,调试技术是一种重要的知识。调试是指通过各种手段使得调试器无法正常工作,以防止恶意攻击者或逆向工程师分析程序的行为。本篇将深入探讨C++中的调试技巧,这些技巧...
静态调试1
Alice0X的博客
02-10 317
一.PEB.BeingDebugged BeingDebugged成员是一个标志(Flag),用来标识进程是否处于被调试状态。 进程处于调试状态时,PEB.BeingDebugged成员(+0x2)的值被设为1(TRUE);进程在非调试状态下运行时,值被设置为0(FALSE). IsDebuggerPresent()API获取PEB.BeingDebugged的值来判断进程是否处于被调试状态, IsDebuggerPresent()函数就是先获取TEB结构地址,再通过TEB.ProcessEnvir
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
漫谈兼容内核之二十六:Windows的结构化异常处理(三)
周寅的专栏
03-13 3019
  用户空间的异常机制是对于系统空间的异常机制的模拟。在内核中,并非所有的异常都是一来就进入“基于SEH框架(Frame-Based)”的异常处理, 而是先进入_KiTrap14()等等类似于向量中断的入口,在那里可以被拦截进行一些优先的处理,例如页面换入和对Copy-On-Write页面的处 理等等。这些处理是全局性质的,而不属于某个SEH域。这相当于是一层全局性的过滤。只有不属于这个层次的异常
linux调试工具gdb的演示分析
风之子的专栏
10-01 7933
一)gdb的调试信息 1)gdb是一个命令行调试器,它可用于全面控制和检查运行中的程序. 2)所有程序都会对gdb发出的命令有所响应,但只有按照合适选项编译并连接的程序才能包括足够的调试信息. 3)一般我们在gcc编译时,加入-g参数,指定程序在编译的时候加入调
gdb学习笔记
JoeBlackZQQ的专栏
01-06 1363
From: http://hi.baidu.com/jinglecode/item/cb71fd8a1a3e87d55f0ec159 你可以用 dev-cpp/bin/gdb 学习,也可以用linux来学习; 感谢http://blog.chinaunix.net/u/7918/showart_32864.html 先看一看 gdb 的命令分类: (gdb)help Lis
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2292
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
gdb调试实例
mergerly的专栏
11-18 1989
gdb保留历史:  show history  set history expansion  set history save  sethistory size 256  保存在 ~/.gdb_history  干掉的进程会重建  __epoll_wait_nocancel ()  怎么建立的?不要忽略!!  ctrl+f  (gdb)  Linux代码 
buu题解-crackMe
m0_73393932的博客
03-21 474
逆向
深度解析:调试技术原理与实战应用
本文档深入探讨了各种调试技术的原理及其在实际应用中的实例,涵盖了调试器检测、进程控制、时间敏感检查、权限管理、调试对象操作、特定工具利用(如OllyDbg)以及调试技术的策略。作者唐久涛,一个在软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值