180316 逆向-反调试技术(9)防止附加和父进程检测

最新推荐文章于 2024-05-18 10:00:40 发布
最新推荐文章于 2024-05-18 10:00:40 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79806491
版权

1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】
A. 反调试技术(9)
B.

防止调试器附加

R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处

可以通过Hook上述两个函数,如果执行了则说明有调试器附加
或者也可以在程序中检测这里是否有int 3,也可以达到同样的目的

父进程检测

理论上来说,当一个程序被正常启动时,它的父进程应该只有以下三种可能

  • Explorer.exe(资源管理器启动)
  • cmd.exe(命令行启动)
  • Services.exe(系统服务)

检查父进程的方法有很多,在此就不赘述了

奈沙夜影
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2014简单绕过某60进程查杀
落笔飞花笑百生的博客
04-27 1741
 ;落笔飞花笑百生 ;2014.12.9 ;过360进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
透视JAVA--编译、修补和逆向工程技术.(Alex Kalinovsky)
12-05
透视JAVA--编译、修补和逆向工程技术.(Alex Kalinovsky)
大神修改版OD,调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装进程
调试技术
11-04
调试技术总结 ,常用的调试手段,检测方法: 探测Windows调试器、手动检测数据结构、系统痕迹检测...
推荐开源项目:AntiDBG — 深入调试的智慧宝库
最新发布
gitblog_00077的博客
05-18 400
推荐开源项目:AntiDBG — 深入调试的智慧宝库 项目地址:https://gitcode.com/HackOvert/AntiDBG 1、项目介绍 在软件安全领域,对抗恶意调试器是一项至关重要的任务。这就是AntiDBG的作用所在——一个汇集了多种Windows平台调试技术的开源库。该项目分为多个类别,包括基于内存、CPU、时间、强制异常和其他方法的检测技巧,旨在帮助开发者保护他们的应用...
调试 -- 利用ptrace阻止调试附加
weixin_34268843的博客
07-04 980
为了方便应用软件的开发和调试,UNIX的早期版本就提供了一种对运行时中的进程进行跟踪和控制的手段,那就是系统的ptrace。 这个函数在iOS中没有提供头文件,我们可在macOS中查看头文件的具体细节。pteace提供了一个非常有用的参数,PT_DENY_ATTACH,这是一个宏,这个参数用于告诉系统阻止调试附加。 首先,可以将macOS下的头文件整体复制出来放到iOS工程下,方便使用。 ...
防止进程附加调试
Crescens
11-22 2574
/**********************防止进程附加调试*******************************/ bool AntiAttach() {       HMODULE ntdll; // ntdll handle        void* pDbgUiRemoteBreakin; // function handle        DWOR
进程检测
qq_45806710的博客
11-15 1417
启动方式一般有3种: 1,Explrer.exe(资源管理器启动) 2.cmd.exe(命令行启动) 3.Sercices.exe(系统服务) 还要防止调试器打开软件 VOID ParentsTest() { MyNtQueryInformationProcess pZwQueryInformationProcess; pZwQueryInformationProcess=(MyNtQueryInformationProcess)GetProcAddress(getModuleHan); PROCE
Anti-Attach 防止调试附加
LLC
08-16 5918
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》 看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案, 发现书上写了这样一句话: Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon
vbs 获取当前运行脚本的路径_检测PID欺骗?
weixin_39553458的博客
11-19 300
用来检测异常活动的最有用的技术之一是对进程关系的分析,然而,技术更高明更强大的攻击者可以使用PID(PPID)欺骗来绕过此操作,从而允许从任意进程执行恶意进程。尽管这项技术本身并不新鲜,虽然Cobalt Strike和DidierStevens 对其进行了详细介绍,但在检测此类攻击方面进行的专门研究却很少。在本文中,我们将探讨该技术的工作原理以及防御者如何利用Windows事件跟...
.NET下的终极调试
12-23
.NET下的终极调试
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
透视JAVA-编译修补和逆向工程技术.pdf
06-18
通过本书可以学习编译JAVA程序的知识和方法,修补字节码和学习相关逆向工程技术情况
Android逆向之动态调试技术
01-19
总之,Android逆向工程的动态调试技术是深入了解应用行为、检测安全漏洞或优化性能的有效手段。通过掌握这些技巧,开发者可以更高效地分析和修改Android应用的内部逻辑。在学习过程中,参考书籍、在线资源和实践经验...
清空 _EPROCESS 结构体中的 DebugPort ,实现进程无法被附加调试
walker的博客
03-07 658
简介 在内核 _EPROCESS 中有一个 DebugPort 成员,该成员中存储的是一个内核调试对象地址。当调试附加进程调试时,操作系统会在内核中创建一个调试对象,并将调试对象的地址写入对应被调试进程的 _EPROCESS 结构体中的 DebugPort 成员中,用于实现调试器与被调试进程之间建立联系。而清空该地址时,调试器将会与被调试进程之间失去关联,即无法继续调试进程。 如果调试器重复多次发起调试请求,操作系统将会重复将调试对象的地址写入被调试进程。如果只将 DebugPort 清空一次,依然会
r3调试
liuhaidon1992的博客
01-08 2012
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
进程欺骗
yellow的博客
01-30 1147
如何实现进程欺骗以及对应的检测方法。
IDA动态调试破解AliCrackme与调试对抗
道阻且长,行则将至。
10-17 2436
文章目录前言APK破解(上)1.1 静态分析1.2 动态分析调试对抗2.1 Ptrace2.2 全局调试2.3 调试APK破解(下)3.1 重新编译3.2 动态调试总结 前言 在前面的文章中 IDA动态调试破解EXE文件与分析APK流程 介绍了 IDA 对 APK 进行动态调试分析的简单流程,然而实际上很多 APP 为了防止被动态调试分析,经常会做一些调试的防护措施。本文将通过 2014 年阿里安全挑战赛的第二题 AliCrackme_2(APK下载地址),来进一步学习 APK so 文件的动态调试
调试技术详解:检测与规避策略
更高级的技术如使用rootkit可以使这些检测变得更为困难,因为rootkit能够隐藏进程、文件和系统调用,使得恶意代码的调试行为难以察觉。 调试技术是恶意代码分析中的一大挑战,而理解这些技术对于安全研究人员来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值