180313 逆向-反调试技术(6)Hook和AntiHook

最新推荐文章于 2023-02-03 11:02:12 发布
最新推荐文章于 2023-02-03 11:02:12 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79797266
版权
本文总结了反调试技术中的Hook与反Hook策略。从早期的简单反Hook到检查函数调用形式,再到针对Hook的检测和Splicing技术的应用,详细阐述了动态分析中的对抗手段。明日计划将继续探讨反调试技术的更多方面。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】
A. 反调试技术(6)
B.

Hook和AntiHook

壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的

最早期直接在入口写入retn 10来直接返回,防止函数的调用
于是外壳也进行了改进:
校验调用的函数代码,必须为

mov eax, xxx
lea edx, [esp+4]
int 2eh
ret xxx

mov eax, xxx
mov edx, xxxxxxxx
call [edx]
retn xxx

这两种形式正是NativeAPI在Win2000和XP下的样子,除非被Hook否则不会有别的样子

于是改进型的Hook也诞生了

mov eax,
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidAntiHook:调试so注入demo
05-18
library目录下有调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
VMP detect bug in hook(KM/UM) 检测调试工具
11-24
本文将深入探讨“VMP detect bug in hook(KM/UM)”这一主题,它涉及到如何在内核模式(KM)和用户模式(UM)下检测调试工具。 首先,让我们理解什么是钩子(Hook)。钩子是编程中的一个概念,允许我们监控和...
Anti Hook,Anti BreakPoint
c/c++、x86汇编、Win32汇编、逆向、破解
02-26 979
这段代码演示了如何让你的程序要保护的API函数不被下断。这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。#include #include DWO
[调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 334
以下 HOOK 需要 全局: 函数名作用Hook 后NtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
对抗hook-defeating_hooks
04-27 1397
----------------------------------------------------------------------------------(1) Defeating IAT or export table modification AND/OR In-line function hooking [1]--------------------------------
App之Hook调试解决办法
SC201204的博客
02-03 1048
App之Hook调试解决办法
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
Mirage是一个内核模式的插件,它利用Intel的VT-x(虚拟化扩展)和EPT(扩展页表)技术来对抗这些调试手段,使得开发者和安全研究人员能更有效地进行程序分析。 首先,我们要理解Intel VT-x。这是Intel处理器的一...
插件 ScyllaHide调试插件
最新发布
03-16
因为有些OD过不了一些调试 就说下这个插件 自带vmp等 配置好的文件 几乎可以过掉R3层的调试 不过VMP3.12还需要自己配置 因为是新的调试 当然是不能过掉Xjun的XAntiDebug 这个需要底层hook 可以自行写个...
软件加密技术内幕
03-19
5.1 调试技术Anti-Debug) 5.1.1 句柄检测 5.1.2 SoftICE后门指令 5.1.3 int68子类型 5.1.4 ICECream子类型 5.1.5 判断NTICE服务是否运行 5.1.6 INT 1 检测 5.1.7 利用UnhandledExceptionFilter检测 ...
AntiDebug4_in_windows_programming_
09-30
调试Anti-Debugging)是软件开发者用来阻止或检测调试器附加到其进程的技术。这些技术旨在增加逆向工程师分析和修改软件的难度,从而提高软件的安全性和保护知识产权。 二、调试的基本原理 1. 检测调试状态...
HookDefend:iOS逆向HOOK的基本防护
05-16
HookDefend iOS逆向HOOK的基本防护 学习完上面的文章后,深感之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工程:基本防护,写个简单的页面 代码如下: 2、需求:在外部hook btnClick2,在内部hook btnClick1,需要保证的是在外部hook btnClick2无效,在内部hook btnClick1生效。 3、拖入fishhook代码,新建hookMgr类 //专门HOOK +(void)load{ //内部用到的交换代码 Method old = class_getInstanceMethod(objc_getClass("ViewController"), @
比较简单的HOOK
07-03
比较简单的HOOK,能有限的防止函数被改,对初学者学习有帮助。
企业壳的调试Hook检测分析
omnispace的博客
02-03 1787
1.写在开始 最近在学习梆梆壳,在调试的过程中遇到了调试,很是苦恼,而且每次调试都会被中断,朋友发了篇帖子【1】介绍了其中的一个调,学习后收获颇多,给我指明了方向,接下来再对其他调试进行补充,若有疏漏之处请各位大佬批评指正。 2.调试之时间线程检测 启动调试后是对帖子【1】的验证,过程大致如下: 运行brpt.py后一路F9, ... #下断点 # 内存中获取
2022CTF培训(二)Hook进阶&调试
sky123博客
11-23 1365
已在 GitHub 上被开源。是微软官方的 Hook 软件包,用于监视和检测 Windows 上的 API 调用(实际上不仅仅限于对 API 函数的调用监控,还可以实现任意函数调用的监控,得益于非常易于使用的调用方式)。Detours 可以用于拦截 ARM,x86,x64 和 IA64 计算机上的二进制函数。Detours 最常用于拦截应用程序中的 Win32 API 调用,例如添加调试用的工具、 拦截代码在运行时动作等等。通过跳转到用户提供的回调函数的无条件来替换目标功能的前几条指令。
Android anti-hook技术
fzs4idiot的博客
08-08 1085
原文出处:http://d3adend.org/blog/?p=589 Stab 1: 检查是否安装hook框架,例如xposed或Substrate PackageManager packageManager = context.getPackageManager(); List applicationInfoList = packageManager.getInstalled
简易网络程序HOOK技术
gddsky的小空间
11-16 1424
文章作者:MagicBear QQ130012321信息来源:邪恶八进制信息安全团队(www.eviloctal.com)最近在搞一个网络程序,出后不久被破解,于是弄了一些HOOK技术经测试WPE,IPSniffer,XSniffer等等著名Sniffer均告失效检测内容:1. 子程序地址是否在DLL空间内2. 检查本机是否有运行RAW SOCKET类Sniffer3. 检查GetFuncAd
android 调试 方案,【木马分析】使用高级调试HOOK的安卓恶意ROOT软件的深度分析(一):NATIVE层的调试...
weixin_39804059的博客
05-26 549
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言最近,我们发现了一个新的Android rootnik恶意软件,它使用开源的Android root 利用工具和来自dashi root工具的MTK root方案来在Android设备上获得root权限。这个恶意软件伪装成一个文件助手,还使用了非常先进的调试HOOK技术,用于防止其被逆向 。它还使用...
java层 android_Android Java层的anti-hooking技巧
weixin_33101399的博客
02-21 182
0x00 前言一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrate或者Xposed框架。声明:下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。...
Windows中的Hook机制
Albert_weiku的博客
06-27 4223
windows中的Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。...
"分析卡巴斯基HOOK引擎:病毒软件技术综述
在本文中,我们通过对卡巴斯基PURE3.0 Total Security的HOOK引擎技术进行了深入分析,涵盖了用户空间进程、内联HOOK、IAT和EAT、虚拟地址描述符、隐藏注册表项、IDT、SSDT、MINI-FILTER、IRP、TDI HOOKING、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值