调试器检测技术 - 2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags

最新推荐文章于 2023-09-26 12:23:25 发布
最新推荐文章于 2023-09-26 12:23:25 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: windows 调试

2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags

PEB.NtGlobalFlag PEB另一个成员被称作NtGlobalFlag(偏移0x68),壳也通过它来检测程序是否用调试器加载。通常程序没有被调试时,NtGlobalFlag成员值为0,如果进程被调试这个成员通常值为0x70(代表下述标志被设置):

FLG_HEAP_ENABLE_TAIL_CHECK(0X10)

FLG_HEAP_ENABLE_FREE_CHECK(0X20)

FLG_HEAP_VALIDATE_PARAMETERS(0X40)

这些标志是在ntdll!LdrpInitializeExecutionOptions()里设置的。请注意PEB.NtGlobalFlag的默认值可以通过gflags.exe工具或者在注册表以下位置创建条目来修改:

HKLM\Software\Microsoft\Windows Nt\CurrentVersion\Image File Execution Options

Heap Flags 由于NtGlobalFlag标志的设置,堆也会打开几个标志,这个变化可以在ntdll!RtlCreateHeap()里观测到。通常情况下为进程创建的第一个堆会将其Flags和ForceFlags4分别设为0x02(HEAP_GROWABLE)和0 。然而当进程被调试时,这两个标志通常被设为0x50000062(取决于NtGlobalFlag)和0x40000060(等于Flags AND 0x6001007D)。默认情况下当一个被调试的进程创建堆时下列附加的堆标志将被设置:

HEAP_TAIL_CHECKING_ENABLED(0X20)

HEAP_FREE_CHECKING_ENABLED(0X40)

示例

下面的示例代码检查PEB.NtGlobalFlag是否等于0,为进程创建的第一个堆是否设置了附加标志(PEB.ProcessHeap):

;ebx = PEB

Mov                 ebx,[fs:0x30]

;Check if PEB.NtGlobalFlag != 0

Cmp               dword [ebx+0x68],0

jne                   .debugger_found

;eax = PEB.ProcessHeap

Mov                 eax,[ebx+0x18]

;Check PEB.ProcessHeap.Flags

Cmp               dword [eax+0x0c],2

jne                   .debugger_found

;Check PEB.ProcessHeap.ForceFlags

Cmp               dword [eax+0x10],0

jne                   .debugger_found

对策

可以将 PEB.NtGlobalFlag和PEB.HeapProcess标志补丁为进程未被调试时的相应值。下面是一个补丁上述标志的ollyscript示例:

Var                   peb

var                   patch_addr

var                   process_heap

//retrieve PEB via a hardcoded TEB address( first thread: 0x7ffde000)

Mov                 peb,[7ffde000+30]

//patch PEB.NtGlobalFlag

Lea                  patch_addr,[peb+68]

mov                 [patch_addr],0

//patch PEB.ProcessHeap.Flags/ForceFlags

Mov                 process_heap,[peb+18]

lea                   patch_addr,[process_heap+0c]

mov                 [patch_addr],2

lea                   patch_addr,[process_heap+10]

mov                 [patch_addr],0

同样地Olly Advanced插件有设置PEB.NtGlobalFlag和PEB.ProcessHeap的选项。

-------------------------------------------------------------------------
以下由Coderui修改整理,在VC 6.0下调试通过。
编写日期:2008年05月31日(更新)
联系邮箱:
作者博客:http://hi.baidu.com/coderui

void PEB_NtGlobalFlag()
{
_asm
{
   jmp   Coderui;      //先跳转到“Coderui”处去执行后边的判断代码。
Coderui_exit:         //标志位。跳到这里后,然后执行退出代码。
   retn;         //用这招当退出,还会异常,够狠(其它地方也可以这么做)。
Coderui:          //标志位。跳到这里后,可以继续执行后边的代码。
   ;//ebx = PEB
   mov   ebx,fs:[0x30];
  
   ;//Check if PEB.NtGlobalFlag != 0
   cmp   dword ptr [ebx+0x68],0;
   jnz   coderui_exit;     //发现被调试,向“Coderui_exit”标志位处跳,执行退出代码。

   ;//eax = PEB.ProcessHeap
   mov   eax,[ebx+0x18];

   ;//Check PEB.ProcessHeap.Flags
   cmp   dword ptr [eax+0x0c],2;
   jnz   coderui_exit;     //发现被调试,向“Coderui_exit”标志位处跳,执行退出代码。

   ;//Check PEB.ProcessHeap.ForceFlags
   cmp   dword ptr [eax+0x10],0;
   jnz   coderui_exit;     //发现被调试,向“Coderui_exit”标志位处跳,执行退出代码。
}
}

zhoujiaxq
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtGlobalFlag
MyBlog
11-06 1231
简单的 NtGlobalFlag 反调试程序:#include "stdafx.h" #include <windows.h>#define NAKED __declspec(naked)NAKED BOOL Detect32() { __asm { push ebp; mov ebp, esp; pushad; mov
peb-0.20b.tar.gz
01-10
标题中的"peb-0.20b.tar.gz"是一个软件包的名称,它采用的是常见的压缩格式`.tar.gz`,这种格式在Linux和Unix-like系统中广泛使用,用于打包和压缩多个文件。"peb"是这个软件包的简称,可能是"PHP Erlang Bridge"的...
反调试 - PEB(BeingDebugged ,NtGlobalFlag
LYSM
09-10 1582
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
[存档]NtGlobalFlags
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 768
2010年08月06日 14:01 - NtGlobalFlags FLG_STOP_ON_EXCEPTION 0x00000001 FLG_SHOW_LDR_SNAPS 0x00000002 FLG_DEBUG_INITIAL_COMMAND 0x00000004 FLG_STOP_ON_HUNG_GUI 0x00000008 FLG_HEAP_ENABLE_TA
global flags
yinhaijing123的专栏
04-16 3471
shao hou shang chuan
8.3 NtGlobalFlag
最新发布
CSDN
09-26 6570
NtGlobalFlag 是一个`Windows`内核全局标记,在`Windows`调试方案中经常用到。这个标记定义了一组系统的调试参数,包括启用或禁用调试技术的开关、造成崩溃的错误代码和处理方式等等。通过改变这个标记,可以在运行时设置和禁用不同的调试技术和错误处理方式,比如调试器只能访问当前进程、只允许用户模式调试、启用特定的错误处理方式等等。但由于`NtGlobalFlag`标记是内核全局标记,其改变会影响整个系统的行为,需要谨慎处理。
peb.so erlang(二廊桥php扩展)
02-09
php扩展peb.so erlang通讯扩展,解决宝塔编译安装php peb扩展编译失败,直接上传到php扩展目录修改配置文件即可使用。
易语言源码易语言反调试判断源码.rar
02-18
例如,通过检测PEB(Process Environment Block)结构中的`BeingDebugged`字段来判断是否被调试。 2. **异常处理机制**:程序可以设置异常处理函数,当发生异常时检查是否有调试器介入。如果发现异常处理过程被中断...
PEB4266.pdf.gz_3304_VINETIC_family_peb
09-14
VINETIC Voice and Internet Enhanced Telephony Interface Concept (VINETIC&#174 ) chip set family. PEB 3324 PEB 3322 ...PEB 4264/-2 PEB 4364 PEB 4265/-2 PEB 4365 PEB 4266 PEB 4262 PEB 4268
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
反调试 - HeapFlagsHeapForceFlags
墨鱼菜鸡
07-04 62
peb 中有一个成员 ProcessHeap,这个成员是一个 指针:进程 peb 地址可以用以下代码拿到:(拿 ProcessHeap 就再加上 ProcessHeap 在 _PEB 中的偏移) x64 中 Process...
堆(heap)系列_0x06:NT全局标志和gflags.exe一页纸
可乐松子的博客
06-27 961
NT全局标志是由一组位(bit)组成的32位数值,每一位都代表特定的功能;全局标志有2种影响范围:(影响所有进程,或者叫进程级)和(进程级的优先级更高)下面通过几个问题来介绍全局标志问题1:系统级别的全局标志怎么影响单个进程?没有指定进程级的全局标志时,进程级全局标志的影响流程:进程级的在进程创建时,通过进程加载器传播给每个用户态进程(被保存在进程环境块字段中)问题2:进程什么时候加载全局标志?进程的执行要经历进程加载器将磁盘上的文件加载到内存的过程(即PE文件的加载过程),此时会从注册表(如果有值话)读取
windows下堆异常调试神器--gflags
weixin_30839881的博客
07-05 540
经常遇到一很郁闷的事情:发布给外部客户使用的程序crash了,把dump文件丢过来,对上pdb之后发现显示的调用栈莫名奇妙,或者是一个stl::vector的push_back调用,要么是在一个malloc分配内存或者new创建对象,甚至可能是一个字符串赋值;这些从代码上看怎么看都不应该导致程序crash的,这时候一般就是程序写内存越界,堆被破坏,导致显示的调用栈异常了。怎样才能确定导致程序异常的...
对话框flags
fg313071405的专栏
03-23 438
Code: control = EDWIN{flags = EEikEdwinNoHorizScrolling | EEikEdwinResizable;width = 11;lines = 1;maxlength = 11;avkon_flags = EAknEditorFlagFixedCase | EAknEditorFlagNoT9 | EAknEditorFlagSupressShift
反调试技术揭秘(转)
freeking101的博客
11-24 579
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API 方法 Win32 提供了两个 API,IsDebuggerPresent 和 CheckRemoteD...
堆(heap)系列_0x08:NT堆调试支持_立刻发现调试支持(DPH)
可乐松子的博客
07-03 1403
页堆:将堆的全部或部分调用到另一个堆管理器,会将申请的,且将的下一个页设置为,用这个只读页来检查缓冲区溢出;也可以将保护页(或者叫栅栏页)放在堆块前面;页堆在内存方面会造成巨大开销,因此1.运行notepad.exe,启动任务管理器记录这个notepad实例的PID和提交大小2.启动页堆管理员权限运行(使用方法,点击这里查看),GUI界面上给notepad.exe开启页堆,命令行也可以观察启动和关闭页堆前后的提交大小变化如下,开启后,提交大小明显变大,这是因为页堆提供了额外的内存分配 扩展命令扩展:!he
windows系统软件崩溃分析
zeng675147的博客
12-15 2496
软件崩溃,page heap ,windows崩溃。
Global系列内存管理函数
商少
06-26 503
MSDN 介绍:Global 函数相比于其它的内存分配函数来说有更大的开销,同时其提供了更少的功能。更建议使用heap 系列的函数进行内存管理。另外,当前Global*** 函数的主要应用场景为:DDE(动态数据交换),剪贴板,OLE 数据对象。其它情况下还是使用Heap 系列的内存管理函数比较好。如果想执行动态生成的代码,需要使用VirtualAlloc 申请内存,然后VirtualProtec...
C语言实现windows反调试
05-21
在 Windows 平台上实现反调试可以采取多种方法,其中一种是使用 C 语言,以下是一些实现反调试的技术和方法: 1. 检测调试器 可在程序中使用 IsDebuggerPresent 函数来检测是否存在调试器。 2. 检测 PEB 可在程序中使用 PEB 结构体来检测进程是否正在被调试,通过检查 PEB 结构体中的 BeingDebugged 标志位来确定进程是否被调试。 3. 检测硬件断点 硬件断点是一种调试技术,可以在指定内存地址上设置断点,以便在访问该地址时触发断点。可以在程序中检测是否存在硬件断点。 4. 检测调试器附加 可以通过检查进程的父进程是否为调试器检测调试器附加。 5. 防止反汇编 可以使用加密或混淆技术来防止反汇编,使得调试者难以分析代码。 需要注意的是,以上方法并不能完全保证程序不被调试,只能增加调试者的难度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值