190328 逆向-浅谈反调试

最新推荐文章于 2022-03-03 18:50:34 发布
最新推荐文章于 2022-03-03 18:50:34 发布
阅读量2.2w 收藏 5
点赞数
分类专栏: 逆向和保护 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/88882049
版权

调试机制

Linux

通过ptrace系统调用来调试子进程
对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容
而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果此时子进程已经被调试那么就会报错

Windows

通过调试对象(或者说是API)来进行通信
Windows系统的复杂度比Linux高很多,所以调试相关的东西对于用户态来说基本都是API来操作
对于create类型,父进程CreateProcess时直接传入DEBUG_PROCESS的标志即可
对于attach类型,则是调用DebugActiveProcess的API来实现的

反调试

  • Windows

    • PEB
      当进程被调试时会在进程环境块中设置很多内容,这些内容都可以被检测到。包括BeingDebugged、NTGlobalFlags、调试堆、DebugPort等等
    • API
      例如ZwSetInformationThread可以设置ThreadHideFromDebugger标志,使得进程不接受被调试

  • Linux

    • ptrace(trace_me)
      当使用trace_me后进程即会进入被调试的状态,此时别的进程就无法主动附加
    • self/$pid/status
      status中会显示tid、ppid等

  • x86通用

    • 检测调试器特征
      进程遍历
    • 断点检查和HOOK
      检查INT 3(0xcc)、HOOK调试函数
    • 异常处理
      调试器会优先接收子进程的异常,从而产生区别
    • 父进程
      Windows下正常的父进程应该是explorer.exe(从文件管理器启动)、cmd.exe(从命令行启动)、Services.exe(系统服务)
      Linux下正常的进程一般是由bash fork出来的

反反调试

几乎所有用户态反调试只要被抓到即可轻而易举地破解,所以关键问题在于发现反调试
而反调试的种类过于繁多,个人建议通读参考资料,当发现可疑代码时再行检查

参考文章:
26种反调试的方法
详解反调试技术

奈沙夜影
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向——调试
wk19951125的博客
04-15 1054
逆向——基础分析基础分析(二) 基础分析(二)
逆向入门-调试
AppWhite_Star的博客
07-30 2133
逆向基础-调试专题
调试技巧总结-原理和实现
weixin_30535843的博客
06-07 409
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
Android逆向调试练习
葱花炒蛋的博客
10-19 2043
调试往往在我们脱壳的第一步,虽然大佬们都能轻松过掉,甚至是修改内核一劳永逸。但是对我这样的小白来讲,还是有些困难,一需要c/c++的基础,二需要经验,三需要耐心。最近尝试apk脱壳,就常常卡死在调试,深感无奈,只 怪正常的软件太社会,还经常有一些混淆,在此自己实现调试,并尝试过掉,还挺有收获,写篇博客记录下来。  准备工作: 1  调试检测的原理及实现 请参考 Android
cpp-makin揭示调试技巧
08-15
调试是指通过各种手段使得调试器无法正常工作,以防止恶意攻击者或逆向工程师分析程序的行为。本篇将深入探讨C++中的调试技巧,这些技巧通常被用于保护软件知识产权,提升软件安全性,或者在开发过程中避免误报...
iOS 越狱逆向12.4-12.5.5 lldb动态调试
06-23
在iOS开发领域,越狱和逆向工程是两个重要的概念,尤其对于安全研究、软件调试以及漏洞挖掘等任务至关重要。越狱是指通过技术手段解除Apple对iOS设备的系统限制,使得用户可以安装非官方应用、修改系统文件以及访问...
swift-iOS与Mac调试逆向工具
08-15
iOS与Mac调试, 逆向工具
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
WT-JS逆向调试工具
最新发布
04-01
总的来说,WT-JS逆向调试工具为JavaScript开发者提供了强大的调试功能,无论是常规的断点调试还是独特的逆向调试,都能极大地提升开发效率,帮助解决复杂的代码问题。熟练掌握此类工具的使用,对提升JavaScript开发...
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
调试
mslieng1011的博客
11-05 274
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试状态 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
逆向-调试技术总结-1(源于加密与解密)
qq_37439229的博客
05-12 401
Beingdebugged
调试总结
weixin_52369224的博客
03-03 569
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
调试技术
bj5716的博客
04-21 953
前言调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
调试 - 调试对象
LYSM
07-14 534
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <W
关于调试&调试那些事
pilgrim1385的专栏
11-29 1920
前言 在逆向和保护的过程中,总会涉及到调试调试的问题,这篇文章主要是总结一下几种常见的调试手段以及调试的方法。 调试 ptrace 为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_D

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值