反调试核反反调试

最新推荐文章于 2024-05-11 10:02:17 发布
最新推荐文章于 2024-05-11 10:02:17 发布
阅读量447 收藏 1
点赞数
分类专栏: 驱动开发 内核 软件调试 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90480297
版权
内核 同时被 3 个专栏收录
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏
逆向
24 篇文章 0 订阅
订阅专栏

反调试

1.DebugPort

2.KdDisableDebugger,禁用内核调试

3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看

4.hook

Hook系统中一些与调试相关的函数,防止被各种调试器调试。

NtOpenThread()防止调试器在程序内部创建线程

NtOpenProcess()防止)调试工具在进程列表中看到

KiAttachProcess()

NtReadVirtualMemory()防止被读内存

NtWriteVirtualMemory()防止被写内存

KdReceivePacket()KDCOM.dll中Com窗口接受数据

KdSendPacket()KDCOM.dll中Com窗口发送数据

这两个用来防止双击调试

反反调试

1针对清零DebugPort防止调试的,可以对DebugPort下内存地址断点ba w4 debugport——addr,当有程序修改这里被断下,找到对应代码进行patch,让其事去作用(改成0x90或者0xc3)

比如我们定位内核模块TxxxSxxx.sys的首地址
然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。
那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了

 

2.KdDisableDebugger反调试的,可在对应函数地址下断点,然后对相关代码patch,比如bp KdDisableDebugger,eb xxx

 

3.hook通过ARK工具回复

参考学习资料

http://www.moguizuofang.com/bbs/thread-3235-1-1.html

http://bbs.pediy.com/showthread.php?t=126802(详细)

http://bbs.pediy.com/showthread.php?t=129810

 

 

 

 

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿布调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用调试技术来保护自己的产品免受非法篡改和分析。"阿布调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布调试工具...
对于调试的研究一
03-09
调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般与加壳结合使用,核心还是加壳部分。
APP加固各种调试
peikm的博客
08-23 4600
原文地址:http://drops.wooyun.org/mobile/16969 原文地址:https://blog.csdn.net/xinyu_pan/article/details/62888415 0x00 时间相关调试 通过计算某部分代码的执行时间差来判断是否被调试,在Linux内核下可以通过time、gettimeofday,或者直接通过sys call来获取当前时间。另外,...
[ScyllaHide] 03 PEB相关调试
kinghzking的专栏
12-21 474
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关调试 调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对调试有进一步的了解吧。 先说下,最近翻看资料对调试的理解吧。 首先
JS逆向基础之调试
weixin_43770993的博客
10-30 2011
平时在调试js代码时,经常会出现浏览器卡死的情况,有时候是在调试js的过程中,有时候是在console中调试代码的过程中,有时候是在格式化代码之后,甚至有时候在打开开发者工具之后直接卡崩溃。此处看到的是一个非常简单的例子,在实际的逆向过程中,代码可能是有成百上千乃至上万行,所以调用的函数与实际定义的函数可能会有很大的差别。可以看到,混淆后的代码有很多的$符号,可读性几乎是没有的,所以这种代码是必须去还原之后才能够进行逆向,一般可以通过一些解码工具进行解码,当然也可以将其复制到控制台中运行。
IDA调试调试
林羽的博客
05-15 2413
IDA在动态调试os文件的时候经常遇到在步进的时候或者是在启动的时候直接崩掉 一,端口检测: IDA调试端口检测 原理: 调试器远程调试时,会占用一些固定的端口号。 做法: 读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。 (也可以运行netstat -apn结果中搜索23946端口) 更改IDA调式默认端口 root@generic:/data/local/tmp # ./as -p31928 IDA Android 32-bit remote de
Android调试方法总结以及源码实现之检测篇(一)
雪一梦的博客
03-09 2万+
好久没有更新博客了,主要是忙项目的事,今日总结一下在Android中常遇到的调试方法,一来帮助需要之人,二来加深自己的理解。 调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般与加壳结合使用,核心还是加壳部分。 调试可以分为两类:一类是检测,另一类是攻击,前者是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些“”的举措,比
sojson本地调试原理解析
热门推荐
小小明-代码实体的专栏
07-07 3万+
sojson的无限debug和防代码格式化,死代码注入等技术真牛,我们看看咋实现的。
推荐开源项目:ScyllaHide - 高级调试
最新发布
gitblog_00019的博客
05-11 344
推荐开源项目:ScyllaHide - 高级调试库 项目地址:https://gitcode.com/x64dbg/ScyllaHide 在这个充满技术挑战的时代,安全和隐私是软件开发中不可或缺的考量因素。为此,我们想要向你推介一个强大的开源工具——ScyllaHide,这是一个专为x64/x86用户模式设计的高级调试库。这个库通过钩子各种功能来隐藏调试痕迹,非常适合在用户模式(Ring 3...
Windows下调试技术汇总
weixin_34352449的博客
05-06 843
2019独角兽企业重金招聘Python工程师标准>>> ...
梆梆&爱加密java调试绕过
zhangmiaoping23的专栏
06-23 2354
各位道友有没有在越过重重native调试脱掉壳之后想要调试smali的过程中突然发现在使用AndroidStdio动态调试smali的时候只要一挂载APP就会崩溃,本篇主要整理一下在调试梆梆&爱加密过程中遇到的java层调试以及绕过的方式 在将梆梆&爱加密脱壳之后通过AS调试APP遇到调试挂载失败,只要debug便会杀掉APP进程 Dalvik虚拟机下的调试绕过 虽然Dalvik已经在逐步退出市场,但是这里还是由他开始,大家都知道Dalvik的核心库是libdv..
易语言源码易语言调试模块源码.rar
02-18
在“易语言源码易语言调试模块源码.rar”这个压缩包中,我们关注的核心是“调试模块”。在软件开发和保护中,调试技术是非常重要的一环,它的主要目的是防止恶意用户通过调试工具分析和篡改程序的行为。 ...
基于调试的JavaScript代码保护方法研究
08-09
### 基于调试的JavaScript代码保护方法研究 #### 概述 随着Web2.0的发展,用户对于Web应用程序的交互性和功能性提出了更高的要求。HTML5作为一种新兴的技术标准,为Web应用程序带来了本地化功能的支持,例如本地...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8865
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
NDIS驱动
kernweak的博客
07-05 5361
NDIS驱动分为3层 协议层驱动 绑定再所有网卡上,所以能截获接收到的包,但无法截获发送的包 中间层驱动 (P部分)绑定在了所有小端口驱动上(M部分)也被所有的协议驱动绑定,收发都能拦截。所有中间层小端口部分负责处理发送的包,协议部分负责处理接受的包 小端口驱动 网卡驱动 NDIS驱动开始 NdisMInitializeWrapper初始化NDIS句柄, NdisIMRegist...
ark笔记
kernweak的博客
07-03 4086
ark相关技术是关于进程检测,杀进程,线程检测,杀线程,怎么检测模块,隐藏dll等。还有驱动模块怎么检测,怎么卸载别人的驱动。SSDT,shadowSSDT,FSD相关。 进程 进程枚举 R3枚举进程 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS)/Process32First/Process32Next,建一个快照,然后去遍历 ZwQueryS...
堆溢出,堆喷射简介
kernweak的博客
11-21 3992
堆简介 堆上分配内存,就是比如malloc,就是从堆上把这块内存的链表,摘下来共我们使用。堆上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
VC版:深度解析调试技术原理与实战实例
此外,文档还提到了“调试技术”,即针对上述调试策略,开发人员可能会设计更高级别的防护措施,对抗那些试图绕过这些防御的技术。这些策略和对抗策略的循环升级,使得软件安全和调试技术之间的较量不断升级。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值