180315 逆向-反调试技术(8)调试器漏洞

最新推荐文章于 2023-12-24 21:12:17 发布
最新推荐文章于 2023-12-24 21:12:17 发布
阅读量429 收藏 1
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79806036
版权

1625-5 王子昂 总结《2018年3月15日》 【连续第530天总结】
A. 反调试技术(8)
B.

调试器漏洞

只要是软件,就存在漏洞,调试器当然也不例外。
以OD为例

  1. OutputDebugStringA
    这个API向调试器发送一个格式化的串,OD会在底端显示相应的信息
    而OD中对这个API存在一个格式化字符串漏洞
    有些版本的OD已经修复了这个漏洞
  2. DRx清理BUG
    OD只要捕获到被调试程序的异常,就毫不留情地把所有DRx清零。这是一个不能称之为bug的bug,但是却可以被利用。在异常中设置DRx的值,再利用这些值来解码,已经成为了很多壳的手段。

C. 明日计划
防止调试器附加

奈沙夜影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
由一道CTF对10种调试的探究
0xDQ的博客
04-23 1915
0x00 前言 最近做的有些ctf中总是出现一些动态调试的情况。由次对一些常见的动态调试进行一些总结。 参考文章: https://blog.csdn.net/hgy413/article/details/7996652https://blog.csdn.net/yiyefangzhou24/article/details/6242459https://www.52pojie.cn/th...
【请收藏】逆向工具清单
lixiaolevae的博客
07-16 1889
抓包 Charles https://www.charlesproxy.com/ mac端很舒服轻松的小花瓶,抓应用层Http(s)请求,是付费的,可寻找破解版 Fiddler windows端的“Charles", 抓应用层Http(s)请求。但不推荐使用,因为它无法导入客户端证书(p12、Client SSL Certificates),对于服务器校验客户端证书的情况无法Bypass WireShark https://www.wireshark.org/ 会话层抓包很方便,通常需要配合编译找到协
CTF调试.exe
04-23
《由一道ctf引起的10种调试的探究》所用的CTF试题。
50.网游逆向分析与插件开发-游戏调试功能的实现-TP、NP等调试驱动的原理
计算机王的博客
12-24 885
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
在NP下用OD调试游戏的方法
Fido
02-03 2642
首先附上国内对NP的研究,看到我这里你也不用到别处找了,因为国内就这几篇了. 文章1:NP监视原理 作者:堕落天才 一、NP用户层监视原理 NP启动后通过WriteProcessMemory跟CreateRemoteThread向所有进程注入代码(除了系统进程smss.exe),代码通过np自己的LoadLibrary向目标进程加载npggNT.des。npggNT.des一旦加载就马上开始干“
180314 逆向-调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
阿布调试工具插件下载
09-01
8. **随机化技术**:软件可能会使用地址空间布局随机化(ASLR)和其他随机化技术,使得每次运行时的内存布局都不同,以此来干扰调试器的定位。 9. **自保护机制**:阿布调试工具可能包含自我保护机制,防止自身被...
一个OD补丁用来调试
03-16
在IT行业中,调试技术是一种保护软件免受恶意分析和逆向工程攻击的重要手段。标题提到的"一个OD补丁用来调试的"是指利用OllyDbg(OD)调试器进行逆向工程时可能会遇到的一种防御机制。OllyDbg是一款著名的...
PC游戏逆向思维-漏洞挖掘
02-11
漏洞挖掘阶段,我们需要应用各种工具和技术,如调试器(如OllyDbg、GDB)、动态分析工具(如IDA Pro、WinDbg)、静态分析工具(如Fernflower、Radare2)以及内存分析工具(如Volatility)。这些工具帮助我们在运行...
大神写的OD调试器成品
09-18
OD调试器,全称OllyDbg,是Windows平台下的一款知名汇编调试器,由Pavel Yosifovich开发。它以其强大的调试功能、直观的用户界面以及对汇编语言的良好支持,在逆向工程和软件调试领域享有盛誉。"大神写的OD调试器...
重载内核实现绕过一切钩子-附详细文档
03-31
重载内核实现绕过一切钩子的驱动源代码-附详细文档 1:将内核文件映射到我内核空间去; 2:path KiFastCallEntry重定向
nProtect.e源碼
09-23
nprotect的易語言源碼.可以編程np程序
OD过游戏保护
12-07
OD过游戏保护相关的理论知识 保护有nProtect GameGuard(NP), hackshield(HS
种类齐全的调试调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
逆向工程调试器OllyDbg
04-28
OllyDbg是一款专门为逆向工程设计使用的调试器,适合动态分析用户态下执行的应用程序。其内置功能强大的具有代码分析功能的汇编器,据此OllyDbg识别循环、switch控制块和其它主要代码流程结构。能显示API函数名称及参数,支持在代码和数据之间的交叉引用—代码到数据或数据到代码。OllyDbg最适合用户模式程序的调试分析,界面上提供了大量不同的视图,包括列出模块中的导入导出信息,显示被调试程序(进程)拥有的窗口和其它对象列表,它可以调试在用户态下执行的程序,故适合于大多数程序。
逆向-音乐学家方大刚-快速定位hashMap
最新发布
03-16
6. **动态调试**:为了验证理论,可以使用Android调试桥(ADB)和调试器(如GDB或JDB)进行动态调试,观察程序在实际运行时的行为。 7. **重构逻辑**:一旦理解了HashMap的实现,可以尝试重构或模拟这个逻辑,以...
26种对付调试的方法
weixin_34235371的博客
05-15 4498
2019独角兽企业重金招聘Python工程师标准>>> ...
逆向基础:OllyDbg调试器
lm19770429的专栏
11-04 120
Debug->Select import libraries
一款基于Pyqt5和Frida的逆向分析调试工具Dwarf
TENCENTSYS的博客
09-07 635
Dwarf本质上是一款调试器,这个项目起初知识想使用PyQt来给Frida增加一个有好的UI界面,并且主要用于Android端。但是通过开发人员的努力之后,该工具已经支持iOS端了。目前,得益于整个社区的共同努力,该工具已完全开源,并且支持对任何类型的操作系统进行分析,并运行在任意桌面端操作系统。 功能介绍 多系统多平台支持 Dwarf基于PyQt5实现,可以直接在任何支持Python的操作系统上...
cve-2020-0796漏洞逆向分析
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值