调试器攻击技术 - ThreadHideFromDebugger

最新推荐文章于 2024-01-19 12:10:20 发布
最新推荐文章于 2024-01-19 12:10:20 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: 逆向 文章标签: 反调试

3、 ThreadHideFromDebugger

这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。

NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationClass参数传递,ThreadHandle通常设为当前线程的句柄(0xFFFFFFFE):

NTSTATUS NTAPI NtSetInformationThread(

HANDLE                                      ThreadHandle,

THREAD_INFORMATION_CLASS        ThreadInformaitonClass,

PVOID                                                ThreadInformation,

ULONG                                               ThreadInformationLength

);

ThreadHideFromDebugger内部设置内核结构ETHREAD16的HideThreadFromDebugger成员。一旦这个成员设置以后,主要用来向调试器发送事件的内核函数_DbgkpSendApiMessage()将不再被调用。

示例

调用NtSetInformationThread()的一个典型示例:

push          0                                                 ;InformationLength

push          NULL                                          ;ThreadInformation

push          ThreadHideFromDebugger            ;0x11

push          0xfffffffe                                            ;GetCurrentThread()

call            [NtSetInformationThread]

对策

可以在ntdll!NtSetInformationThread()里下断,断下来后,逆向分析人员可以操纵EIP防止API调用到达内核,这些都可以通过ollyscript来自动完成。另外,Olly Advanced插件也有补这个API的选项。补过之后一旦ThreadInformaitonClass参数为HideThreadFromDebugger,API将不再深入内核仅仅执行一个简单的返回。

 

 

 

【原创】inline hook SSDT 躲避 Themida 的ThreadHideFromDebugger (学习笔记2)
 
1 个附件
Themida保护的程序会采用ThreadHideFromDebugger来反调试,这个一旦设置,就一直起效,所以对于需要附加的程序就不太好办了,或者有的程序直接调用 int 2e来反调试, 虽然有插件比如 invisible可以躲过,但是需要附加进行调试的程序就不起作用了。

比如我以前写的一个反调试函数

void anti()
{

/
/
//NtSetInformationThread 功能设置调试端口为0
//
//
//

::GetCurrentThread();
_asm // xp系统
{
push 0 //InformationLength
push 0 //ThreadInformation
push 0x11 //11 就是ThreadHideFromDebugger
push eax //当前线程句柄
mov eax, 0xe5 //EAX NtSetInformationThread调用号
mov edx, esp //EDX 当前堆栈放
int 0x2e
add esp, 0x10
}


::GetCurrentThread();
_asm // 2000系统
{
push 0
push 0
push 0x11
push eax
mov eax, 0xc6
mov edx, esp
int 0x2e
add esp, 0x10
}
}

为了躲避上面的ANTI inline hook是个不错的方法
inline hook 分5步

第一步 申请一个全局变量 用来存放被破坏的指令
第二步 声明一个类型 用来强制转换
第三步 自己的函数
第四步 安装HOOK
第五部 卸载HOOK
其中起关键作用的是下面的代理函数
NTSTATUS __stdcall //第三步 自己的函数
MyNtSetInformationThread(
IN HANDLE ThreadHandle,
IN THREADINFOCLASS ThreadInformationClass,
IN PVOID ThreadInformation,
IN ULONG ThreadInformationLength
)
{
if(ThreadInformationClass == 0x11)
{
DbgPrint("发现 ANTI DEBUG 行为");

DbgPrint("NtSetInformationThread 参数 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); // 打印出参数
ThreadInformationClass = (THREADINFOCLASS)0xff;

DbgPrint("参数被我改过后是 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength);

return STATUS_SUCCESS; //直接返回成功 这样ANTI就失效了
}

//强制转换成函数的形式
return ((SYSNTSETINFORMATIIONTHREAD)OldNtSetInformationThread)( // 放行
ThreadHandle,
ThreadInformationClass,
ThreadInformation,
ThreadInformationLength
);
}

 

下面是全部的代码 附件中也包含完成的代码
SYS加载有 你只要调用下 anti这个函数 代理函数就会输出参数 并且 改变参数
void * OldNtSetInformationThread;; //第一步 申请一个全局变量 用来存放被破坏的指令


//NtSetInformationThread
typedef NTSTATUS (__stdcall *SYSNTSETINFORMATIIONTHREAD) //第二步 声明一个类型 用来强制转换
(
IN HANDLE ThreadHandle,
IN THREADINFOCLASS ThreadInformationClass,
IN PVOID ThreadInformation,
IN ULONG ThreadInformationLength
);


NTSTATUS __stdcall //第三步 自己的函数
MyNtSetInformationThread(
IN HANDLE ThreadHandle,
IN THREADINFOCLASS ThreadInformationClass,
IN PVOID ThreadInformation,
IN ULONG ThreadInformationLength
)
{
if(ThreadInformationClass == 0x11)
{
DbgPrint("发现 ANTI DEBUG 行为");

DbgPrint("NtSetInformationThread 参数 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); //证明自己存在

ThreadInformationClass = (THREADINFOCLASS)0xff;

DbgPrint("参数被我改过后是 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); //证明自己存在

return STATUS_SUCCESS; //直接返回成功
}

//强制转换成函数的形式
return ((SYSNTSETINFORMATIIONTHREAD)OldNtSetInformationThread)( // 放行
ThreadHandle,
ThreadInformationClass,
ThreadInformation,
ThreadInformationLength
);
}


ULONG AddrNtSetInformationThread;
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{

DbgPrint("Hook NtSetInformationThread DriverEntry");
pDriverObj->DriverUnload = OnUnload;

AddrNtSetInformationThread = *PULONG((ULONG)KeServiceDescriptorTable->ServiceTable + 0xe5 * 4);
AfxHookCode((void*)AddrNtSetInformationThread, (void*)MyNtSetInformationThread, (void**)&OldNtSetInformationThread, 10); //第四步 AFXHOOK


// if(驱动加载失败)
// 一定要 AfxUnHookCode 不然驱动加载失败 自己分配的内存代码也就失效了 系统经过这个SSDT也就蓝了
return STATUS_SUCCESS;
}


//
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
AfxUnHookCode((void*)AddrNtSetInformationThread, OldNtSetInformationThread, 10); //第五部 卸载 驱动卸载一定要还原HOOK 因为驱动卸载了,自己分配的内存也就失效了
DbgPrint("Unload Hook NtSetInformationThread");
}

 

 

下面是RING 0 HOOK 模块
#ifndef __AFXHOOKCODE_H__
#define __AFXHOOKCODE_H__

bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5)
{
*l_OldProc = ExAllocatePool(NonPagedPool,(bytescopy+5)); // 执行被覆盖的指令 再跳到原来的代码上运行


memcpy(*l_OldProc, TargetProc, bytescopy); // 事先保存被破坏的指令

__asm{
cli
mov eax,cr0
and eax,not 10000h
mov cr0,eax
}

// 我的内存的代码执行完 跳到原来的 代码+破坏的代码的长度 上去
*((unsigned char*)(*l_OldProc) + bytescopy) = 0xe9;

// 我内存代码跳到原来代码上的偏移
*(unsigned int *)((unsigned char*)(*l_OldProc) +bytescopy + 1)=(unsigned int)(TargetProc) + bytescopy - ( (unsigned int)((*l_OldProc)) + 5 + bytescopy ) ;

//被HOOK的函数头改为jmp
*(unsigned char*)TargetProc =(unsigned char)0xe9;

//被HOOK的地方跳到我的新过程 接受过滤
*(unsigned int*)((unsigned int)TargetProc +1) = (unsigned int)NewProc - ( (unsigned int)TargetProc + 5);

__asm{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}
return true;
}


bool AfxUnHookCode(void* TargetAddress, void * l_SavedCode, unsigned int len)
{

__asm{
cli
mov eax,cr0
and eax,not 10000h
mov cr0,eax
}

// 恢复HOOK
memcpy(TargetAddress, l_SavedCode, len);

__asm{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}

return true;
}

#endif

 

双刃剑客
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
反调试技术源码与实例汇编版
10-05
汇总归纳了各种反调试技术,提供各种反调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-asm.html 反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
反调试技术实例
11-10
反调试技术实例
关于一些调试器的反调试技术
09-29
反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
各种反调试技术原理与实例 VC版
10-05
汇总归纳了各种反调试技术并提供了本人创作的各种反调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-vc.html 反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
SteamLoader-绕过Steam ThreadHideFromDebugger-C/C++开发
05-27
一个简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法。 SteamLoader-绕过Steam ThreadHideFromDebugger一种简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法,该技术不允许在遇到断点时将执行流转移到调试器。 这种技术存在于(旧的?)Steam游戏中,例如Orcs Must Die 2,FEAR 3,DeusEx,Brinck,Fall out系列,Duke Nukem。 一旦达到断点,游戏就会退出。 我在Guided Hacking论坛上对此做了完整的解释。 Visual Studio解决方案包含两个
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3278
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
反调试技术揭秘(转)
weixin_33935505的博客
03-04 494
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
PP保护3:HideFromDebugger
netword12345的专栏
03-04 1198
PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD. 遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回
脱壳的艺术--5 调试器攻击技术
FISH 的专栏
01-19 1435
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用
Windows平台反调试技术学习
最新发布
q2919761440的博客
01-19 834
前俩天的学习记录Windows上面的反调试学习,主要是参考《恶意代码实战分析》和《加密与解密》里面的,给每个小技术都写了程序示例,自己编译反调试了一遍。Windows反调试。
【翻译】Windows 反调试参考翻译
lwglucky的专栏
03-24 2076
[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的反调
反调试技术(一)--静态反调试
weixin_30871293的博客
03-13 222
为了保护自己的程序不被破译等,很多软件使用了反调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--反调试破解技术的出现。反调试技术分为静态反调试技术和动态反调试技术。相比来说静态反调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态反调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
反调试技术总结(看雪)
eli的博客
12-07 2501
大概是在一年半以前我在自己CSDN博客上写了详解反虚拟机技术和详解反调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“反调试”和“反虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 829
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
windows调试与反调试复习笔记
kernweak的博客
06-28 1809
反调试分类 1、检测断点(软件断点,硬件断点,内存断点) 2、各种标记检测(单步标记,内存标记,内核对象,调试端口等) 3、进程名字,窗口及其类名检测 4、文件完整性检测 软件断点 TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点,通过TLS回调得到程序的OEP然后判断入口判断是否为int 3断点 即可判断是否有调试器。当然回调函数也可以有其他的反调试手法。 ...
C++ 反调试(ZwSetInformationThread)
LYSM
09-18 2660
这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。 代码: #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1891
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
hook threadhidefromdebugger
01-02
"hook threadhidefromdebugger" 是一个用于在计算机编程中控制线程隐藏和防止被调试的操作。在软件开发和安全领域中,这个操作通常被用于保护程序不受恶意攻击或者逆向工程的影响。 具体来说,"hook" 是指在程序中植入一段代码,用于拦截和修改程序执行的流程。而 "threadhidefromdebugger" 则是指在程序执行过程中隐藏线程信息,使得调试工具无法检测到或者影响线程的执行。通过这样的操作,可以阻止对程序的调试和逆向分析,增加了程序的安全性和稳定性。 在实际应用中,开发人员和安全专家可以使用这个操作来保护程序的代码和数据不被窃取或篡改。然而,需要注意的是,使用 "hook threadhidefromdebugger" 也可能会给调试和故障排查带来困难,因此在实际使用时需要慎重考虑并确保符合相关法律法规。 总而言之,"hook threadhidefromdebugger" 是一个用于保护程序安全的技术手段,但需要在合法合规的前提下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值