1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】
A. 反调试技术(3)
B.
DebugObject
之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的
调试器与被调试程序建立关系有两种途径
- 在创建进程时设置DEBUG_PROCESS
- 调用DebugActiveProcess附加到某个一运行的进程上
当调试器开启的时候会创建一个DebugObject,并且储存在了NtCurrentTeb()->DbgSs Reserved[1]处
普通的进程中DbgSsReserved[1]应该为NULL,因此此处如果有值那么就说明该进程是一个用户态的调试器进程
Ntdll中有导出函数可以操作这个域:DbgUiGetThreadDebugObject(VOID)
因此可以通过这个方法来判断一个进程是不是调试器,进而反调
然而这个函数只能判断某一个进程,有些累赘
再向上追踪可以发现DebugObject是由ZwCreateDebugObject调用了ObCreateObject来创建的,因此可以用ZwQueryObject查询所有对象的类型,若发现DebugObject的数目不为0,就说明系统中此时运行着调试器
诚然有调试器并不意味着对方就是在破解自己的软件,不过普通用户一般是不会开着调试器的,所以从这个角度想,错杀还是可以接受的
C. 明日计划
反调试技术(4)