180310 逆向-反调试技术(3)DebugObject

最新推荐文章于 2021-07-01 18:55:15 发布
最新推荐文章于 2021-07-01 18:55:15 发布
阅读量719 收藏 1
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79665928
版权

1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】
A. 反调试技术(3)
B.

DebugObject

之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的

调试器与被调试程序建立关系有两种途径

  • 在创建进程时设置DEBUG_PROCESS
  • 调用DebugActiveProcess附加到某个一运行的进程上

当调试器开启的时候会创建一个DebugObject,并且储存在了NtCurrentTeb()->DbgSs Reserved[1]处

普通的进程中DbgSsReserved[1]应该为NULL,因此此处如果有值那么就说明该进程是一个用户态的调试器进程

Ntdll中有导出函数可以操作这个域:DbgUiGetThreadDebugObject(VOID)
因此可以通过这个方法来判断一个进程是不是调试器,进而反调

然而这个函数只能判断某一个进程,有些累赘
再向上追踪可以发现DebugObject是由ZwCreateDebugObject调用了ObCreateObject来创建的,因此可以用ZwQueryObject查询所有对象的类型,若发现DebugObject的数目不为0,就说明系统中此时运行着调试器

诚然有调试器并不意味着对方就是在破解自己的软件,不过普通用户一般是不会开着调试器的,所以从这个角度想,错杀还是可以接受的

C. 明日计划
反调试技术(4)

奈沙夜影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3280
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
调试技巧总结-原理和实现
weixin_30535843的博客
06-07 409
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
linux CONFIG_DEBUG_OBJECTS 用法
u014089131的博客
05-16 2627
该选项用来开启debugobjects模块,对应内核代码中的debugobjects.c, 这个模块是个通用的调试框架,用来跟踪object的生命周期。 kernel中已有的应用该功能的object有timer,workqueue等, 当然自己也可以定义自己的模块使用这个调试功能。 一个object有下面几种状态: enum debug_obj_state { ODEBUG_S
Android逆向之动态调试技术
01-19
本篇内容将深入探讨Android逆向中的动态调试技术,特别是针对APK的Smali代码的调试。 首先,进行Android逆向工作之前,必须确保设备已获得Root权限。Root权限允许访问系统级别的文件和功能,这对于调试和修改系统或...
易语言-调试模块易语言
06-29
调试技术是为了保护软件不被逆向工程师通过调试工具分析其内部逻辑和数据结构。它通常包括以下几个方面: 1. **检测调试器**:这是调试的基本手段,通过检查特定的内存地址、系统调用、异常处理等方式判断是否...
ios-antidebugging:iOS调试技术集合
05-11
"ios-antidebugging:iOS调试技术集合"是一个专门收集这些技术的资源库,名为"ios-antidebugging-master"的压缩包文件很可能包含了多种调试策略的实现示例。 首先,我们了解下什么是调试调试是一种用于查找并...
WT-JS逆向调试工具
最新发布
04-01
总的来说,WT-JS逆向调试工具为JavaScript开发者提供了强大的调试功能,无论是常规的断点调试还是独特的逆向调试,都能极大地提升开发效率,帮助解决复杂的代码问题。熟练掌握此类工具的使用,对提升JavaScript开发...
iOS 越狱逆向LLDB动态调试app 工具 --debugserver
06-23
在iOS开发领域,越狱逆向工程是一种深入理解应用程序内部工作原理的重要技术。本文将详细介绍如何使用LLDB和`debugserver`工具在越狱设备上进行动态调试iOS应用。 首先,我们要了解`debugserver`。它是Apple官方...
各种调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种调试技术并提供了本人创作的各种调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 调试技术 31
Windows软件调试学习笔记(一)—— 调试对象
qq_41988448的博客
07-01 1038
软件调试学习笔记(一)—— 调试对象
6.ring0-更改dbgport地址偏移过掉dbgport清0
hgy413的专栏
07-26 2440
正方案: 把 EPROCESS->DebugPort = NULL清零,这样调试器就无法接受到消息了,也就无法调试方案: 以下的操作都可以写成一个script来操作. debugport和哪些函数相关 1.首先打开一个calc.exe: kd> !process 0 0 calc.exe PROCESS 861a9020 SessionId: 0 Cid: 068c
NTCreateDEbugOBject for win8..1
落笔飞花笑百生的博客
04-27 1393
这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了 这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑 NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle
滴水逆向软件调试
若面朝大海边竹妮春暖花开的博客
10-27 1398
一、调试对象 分为两种:创建进程和附加进程 创建进程为将未运行的程序创建进程 附加进程为将运行中的进程附加 对调试器做的事 DebugActiveProcess调用了DbgUiConnectToDbg,然后调用了ntdll.dll模块中的DbgUiConnectToDbg DbgUiConnectToDbg调用ZwCreateDebugObject,进入0环,创建_DEBUG_OBJECT...
Debug调试Object@xxx表示什么
迷路剑客个人博客
11-15 5276
Debug调试Object@xxx表示什么 0x01 摘要 再用IDEA等工具调试Java代码时,往往会看到类似Person@434这样的信息。关于@符号后面数字表示的含义,这里解释一下。 0x02 不是HashCode 首先这里要说下,这个数字不是HashCode,也不是其16进制形式。 Object对象有一个默认的toString方法如下: public String toString(...
Windows NT内核函数大全
qq_42577465的博客
06-06 1544
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
190328 逆向-浅谈调试
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
调试技术详解:检测与规避策略
"这篇资源是关于调试技术的总结,主要介绍了恶意代码如何使用调试手段来避免被...在实际操作中,应结合多种技术和方法,包括动态分析、静态分析以及逆向工程,来绕过或解除调试保护,揭示恶意代码的真实行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值