180306 逆向-反调试技术(1)BeingDebugged

最新推荐文章于 2024-04-23 10:15:50 发布
最新推荐文章于 2024-04-23 10:15:50 发布
阅读量1.7k 收藏 3
点赞数 3
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79656200
版权

1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】
A. 反调试技术(1)
B.

BeingDebugged

Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人

实现源码为:

IsDebuggerPresent(VOID)
{
    return NtCurrentPeb()->BeingDebugged;
}

这个函数读取了当前进程PEB中的BeingDebugged标志
PEB(Process Environment Block,进程环境块)是每个进程都拥有的一个结构,其中包含了大量的进程相关标志
它的地址存放在TEB(Thread Environment Block, 线程环境块)之中,而TEB的地址会被该线程的FS段寄存器存储

换句话说,该API只是通过内存中的一个标志位来判断进程是否被调试……调试器改内存是手到擒来的事情,甚至OD还有插件可以免去手工操作的繁琐。
因此使得这个API沦为鸡肋。。。
真的是这样吗?

才不会这么简单~

在PEB中的BeingDebugged被设为True后,还会有一些其他的变化产生。

  1. 加载时会将PEB中的NtGlobalFlag中的一个位改变,使其值为0x70,而正常状态下不是
  2. 在WRK中有一个宏也会随着NtGlobalFlag的改变而在RtlCreateHeap中用RtlDebugCreateHeap创建调试堆。这个调试堆中含有大量的标志(例如0xBAAD0F0D和0xFEEEFEEE等),而正常情况下这个地
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cpp-makin揭示调试技巧
08-15
在IT行业中,尤其是在软件开发和安全领域,调试技术是一种重要的知识。调试是指通过各种手段使得调试器无法正常工作,以防止恶意攻击者或逆向工程师分析程序的行为。本篇将深入探讨C++中的调试技巧,这些技巧...
C/C++ 程序调试的方法
CSDN
08-18 5958
C/C++ 要实现程序调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测调试,MapFileAndCheckSum,等都可实现调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
BeingDebugged引发的蝴蝶效应
Hu4
03-05 886
IsDebuggerPresent函数用来判断自己是否处于调试状态。 BOOL APIENTRY IsDebuggerPresent( void ) { return NtCurrentPeb()->BingDebugged; } 这个函数会读取到PEB中的BeingDebugged标志(PEB:进程环境块) PEB(Process Environment ...
BeingDebugged
最新发布
Gefangenes的博客
04-23 276
该函数不接受参数,并且如果进程正在被调试,则返回 TRUE,否则返回 FALSE。有了上述知识点的理解,写出一段调试代码来将变得很容易,如下代码片段所示,如果独立运行则会提示正常程序,一旦进程被调试则会提示异常,此处分别使用三段实现方式,读者可通过向。结构体中的一个成员,它是一个标志位,用于标识当前进程是否正在被调试。上述程序被运行,一旦处于调试器模式则会触发被调试的告警,如果恶意代码中使用该种技术阻碍我们正常调试,只需要在。的标志,此处的标志位如果为1则说明程序正在被调试,为0则说明没有被调试
静态调试1
Alice0X的博客
02-10 305
一.PEB.BeingDebugged BeingDebugged成员是一个标志(Flag),用来标识进程是否处于被调试状态。 进程处于调试状态时,PEB.BeingDebugged成员(+0x2)的值被设为1(TRUE);进程在非调试状态下运行时,值被设置为0(FALSE). IsDebuggerPresent()API获取PEB.BeingDebugged的值来判断进程是否处于被调试状态, IsDebuggerPresent()函数就是先获取TEB结构地址,再通过TEB.ProcessEnvir
anti-debug1——侦测
40KO的博客
01-23 408
BeingDebugged标记 最简单也最常用的调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()->BeingDebugged; } 要找到BeingDebugged在当前进...
8.2 BeingDebugged
CSDN
09-26 4198
BeingDebugged 是`Windows`系统`PEB`结构体中的一个成员,它是一个标志位,用于标识当前进程是否正在被调试。BeingDebugged的值为0表示当前进程未被调试,值为1表示当前进程正在被调试。由于`BeingDebugged`是在`PEB`结构体中存储的,因此可以通过访问`PEB`结构体来获取`BeingDebugged`的值。恶意软件可以使用`BeingDebugged`来判断自己是否正在被调试,以此来防止被病毒工程师或调试程序进行分析。病毒工程师们也可以通过检查`BeingD
各种调试技术原理与实例VC版_fallpx8_调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用调试技术。本篇文章将深入探讨调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术调试技术主要目标是检测调试器的...
易语言源码易语言SEH调试源码.rar
03-30
学习和理解易语言SEH调试源码,不仅可以提升对易语言编程的理解,还能帮助开发者掌握逆向工程和安全防护技术。但需要注意的是,这种技术应合理使用,避免滥用导致误判,影响合法用户的正常使用。同时,对于软件...
易语言源码易语言调试判断源码.rar
02-18
易语言是一种专为中国人设计的编程语言,它以简体中文作为编程语法,降低了编程的门槛,使得更多...对于易语言开发者来说,理解并掌握这些调试技术,既能提升软件安全性,也能在面对逆向工程挑战时有更多的应对策略。
调试手段 源码加注释
05-05
在IT安全领域,尤其是软件开发和逆向工程中,“调试”是一种常见的技术,用于防止恶意用户或黑客通过调试工具分析程序的行为。本压缩包文件“ANTIDBG”可能包含了多种调试策略的源码及注释,这些策略通常被应用...
VB.NET 从PEB->BeingDebugged标志位判断被调试
12-09 675
说实在的我本是想从PEB中保存 调试对象句柄 的标志位判断是 否被调试的,可惜搞了个多小时也没搞定 实在算不准偏移到底 是好多、当然可以在WinDbg在DT !PEB不过真的很麻烦,我在 网上找了一些PEB结构的声明,最后我再Nirsoft.NET上找到了 一个很全面地PEB结构声明,说实在话看的我不知所云、好吧 保存调试对象句柄的标志位为 -> ULONG SystemReser
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2094
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁
调试技术
qq_36963214的博客
11-05 751
Windows调试技术 Windows API调试 IsDebuggerPresent 用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下: MOV EAX,DWORD PTR FS:[0x30] MOVZX EAX,BYTE PTR DS:[EAX+0x2] RETN FS寄存器指向的是TEB(线程环境块),其数据结构如下: typedef struct _NT_TEB { NT_
调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1583
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
漫谈兼容内核之二十六:Windows的结构化异常处理(三)
周寅的专栏
03-13 2993
  用户空间的异常机制是对于系统空间的异常机制的模拟。在内核中,并非所有的异常都是一来就进入“基于SEH框架(Frame-Based)”的异常处理, 而是先进入_KiTrap14()等等类似于向量中断的入口,在那里可以被拦截进行一些优先的处理,例如页面换入和对Copy-On-Write页面的处 理等等。这些处理是全局性质的,而不属于某个SEH域。这相当于是一层全局性的过滤。只有不属于这个层次的异常
C语言实现windows调试
05-21
在 Windows 平台上实现调试可以采取多种方法,其中一种是使用 C 语言,以下是一些实现调试技术和方法: 1. 检测调试器 可在程序中使用 IsDebuggerPresent 函数来检测是否存在调试器。 2. 检测 PEB 可在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值