汇编级别反调试(2)

最新推荐文章于 2023-12-08 22:55:11 发布
最新推荐文章于 2023-12-08 22:55:11 发布
阅读量556 收藏 1
点赞数
文章标签: c++ 算法 数据结构 汇编 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_77005850/article/details/129760548
版权
本文详细介绍了多种基于汇编级别的反调试技术,包括IsDebuggerPresent函数检查、PEB结构中的BeingDebugged标志、NtGlobalFlag、堆标志与ForceFlags、Trap Flag、API CheckRemoteDebuggerPresent、NtQueryInformationProcess、ProcessDebugObjectHandle、ProcessDebugFlags以及各种异常处理机制。通过理解这些技术,可以更好地实现或绕过反调试策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基础方案和原理
内含 demo,编译环境:gcc (x86_64-posix-seh-rev0, Built by MinGW-W64 project) 8.1.0
1. IsDebuggerPresent
代码示例:
#include<stdio.h>
#include<windows.h>
#include<iostream>
using namespace std;
int main()
{
    if (IsDebuggerPresent())
    {
        cout << "Stop debugging program!" << std::endl;
        exit(-1);
    }
    return 0;
}
通过调试器,查看 IsDebuggerPresent源码可以看到:
0:000> u kernelBase!IsDebuggerPresent L3
KERNELBASE!IsDebuggerPresent:
00007ffb`ebf208d0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`ebf208d9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`ebf208dd c3              ret
32为:
0:000< u kernelbase!IsDebuggerPresent L3
KERNELBASE!IsDebuggerPresent:
751ca8d0 64a130000000    mov     eax,dword ptr fs:[00000030h]
751ca8d6 0fb64002        movzx   eax,byte ptr [eax+2]
751ca8da c3              ret
详细 PEB TEB结构可以参考附件内容。
原理
+0x060 ProcessEnvironmentBlock : Ptr64 _PEB gs 指向程序的_PEB结构,其中 _PEB 偏移 0x2 位置是: +0x002 BeingDebugged : UChar
所以该函数原理就是检查 PEB 下的 BeingDebugged 标志位。被调试是1 , 否则0。
PEB
你可以在代码中通过下面获取进程控制块地址:
PVOID GetPEB()
{
#ifdef _WIN64
    return (PVOID)__readgsqword(0x0C * sizeof(PVOID)); # PVOID 大小由编译器系统环境决定 4 or 8 bytes
#else
    return (PVOID)__readfsdword(0x0C * sizeof(PVOID));
#endif
}
如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。
//  WOW64
PVOID GetPEB64()
{
    PVOID pPeb = 0;
#ifndef _WIN64
    if (IsWin8OrHigher()) # S
    {
        BOOL isWow64 = FALSE;
        typedef BOOL(WINAPI *pfnIsWow64Process)(HANDLE hProcess, PBOOL isWow64);
        pfnIsWow64Process fnIsWow64Process = (pfnIsWow64Process)
            GetProcAddress(GetModuleHandleA("Kernel32.dll"), "IsWow64Process");
        if (fnIsWow64Process(GetCurrentProcess(), &isWow64))
        {
            if (isWow64)
            {
                pPeb = (PVOID)__readfsdword(0x0C * sizeof(PVOID));
                pPeb = (PVOID)((PBYTE)pPeb + 0x1000);
            }
        }
    }
#endif
    return pPeb;
}
BYPASS
直接给标志位置0:
mov eax, dword ptr fs:[0x30]  
mov byte ptr ds:[eax+2]
// x64
DWORD64 dwpeb = __readgsqword(0x60);
*((PBYTE)(dwpeb + 2)) = 0;
注意检查 TLS 回调
TLS在程序运行前以及运行了,记得检查是否由TLS回调函数,隐藏了反调试如:
#pragma section(".CRT$XLY", long, read)
__declspec(thread) int var = 0xDEADBEEF;
VOID NTAnopPI TlsCallback(PVOID DllHandle, DWORD Reason, VOID Reserved)
[backcolor=var(--color-canvas-subtle)]{
     var = 0xB15BADB0;
    if (IsDebuggerPresent())
    {
        MessageBoxA(NULL, "Stop debugging program!", "Error", MB_OK | MB_ICONERROR);
        TerminateProcess(GetCurrentProcess(), 0xBABEFACE);
    }
}
__declspec(allocate(".CRT$XLY"))PIMAGE_TLS_CALLBACK g_tlsCallback = TlsCallback;      
2.NtGlobalFlag
在 Windows NT 中,有一组标志存储在全局变量 NtGlobalFlag 中,这在整个系统中是通用的。在启动时,NtGlobalFlag 全局系统变量将使用系统注册表项中的值进行初始化: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\GlobalFlag]
要检查进程是否已使用调试器启动,请检查 PEB 结构中 NtGlobal 标志字段的值。此字段分别位于 x32 和 x64 系统的PEB 0x068和0x0bc偏移量。
0:000> dt _PEB NtGlobalFlag @$peb
ntdll!_PEB
   +0x068 NtGlobalFlag : 0x70
// x64
0:000> dt _PEB NtGlobalFlag @$peb
ntdll!_PEB
   +0x0bc NtGlobalFlag : 0x70
NtGlobalFlag 和 IMAGE_LOAD_CONFIG_DIRECTORY
可执行文件可以包含IMAGE_LOAD_CONFIG_DIRECTORY结构,该结构包含系统加载程序的其他配置参数。默认情况下,此结构不会内置于可执行文件中,但可以使用修补程序添加它。此结构具有GlobalFlagsClear ,该字段指示应重置 PEB 结构的 NtGlobal 标志字段的哪些标志。如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。下面的代码示例检查正在运行的进程内存和磁盘上的全局标记清除字段,从而说明一种流行的反调试技术:
代码片段
3. 堆标志和 ForceFlags
在PEB中包含两个特殊标志位结构:
0:000> dt _PEB ProcessHeap @$peb
ntdll!_PEB
   +0x018 ProcessHeap : 0x00440000 Void
0:000> dt _HEAP Flags ForceFlags 00440000
ntdll!_HEAP
   +0x040 Flags      : 0x40000062
   +0x044 ForceFlags : 0x40000060
x64:
0:000> dt _PEB ProcessHeap @$peb
ntdll!_PEB
   +0x030 ProcessHeap : 0x0000009d`94b60000 Void
0:000> dt _HEAP Flags ForceFlags 0000009d`94b60000
ntdll!_HEAP
   +0x070 Flags      : 0x40000062
   +0x074 ForceFlags : 0x40000060
判断条件:
如果 堆标志字段未设置HEAP_GROWABLE(0x00000002)标志,则正在调试进程。
如果ForceFlags值不为 0,则正在调试进程。
但在实际运行中根据操作系统不同可能会有一些偏差,下面是一个demo:
int GetHeapFlagsOffset(bool x64)
{
    return x64 ?
        IsVistaOrHigher() ? 0x70 : 0x14: //x64 offsets
        IsVistaOrHigher() ? 0x40 : 0x0C; //x86 offsets
}
int GetHeapForceFlagsOffset(bool x64)
{
    return x64 ?
        IsVistaOrHigher() ? 0x74 : 0x18: //x64 offsets
        IsVistaOrHigher() ? 0x44 : 0x10; //x86 offsets
}
void CheckHeap()
{
    PVOID pPeb = GetPEB();
    PVOID pPeb64 =
最低0.47元/天 解锁文章
汇编级别反调试(1)
青月的成长记录吖
03-24 283
对于一些调试器可能会崩溃,当EIP用作异常处理地址之后,INT 2D指令后的代码将会被跳过,可能跳入到一些非法指令处。在异常处理程序中,我们设置一个寄存器,该寄存器充当指令计数器(在本例中为EAX)和指令指针EIP的角色,以将控制权传递给序列中的下一条指令。在没有调试器的情况下,在到达INT3指令后,将生成异常EXCEPTION_BREAKPOINT (0x80000003),并将调用异常处理程序。在下面的例子中,如果在od调试器,当步入到 0xF3 时,我们会直接跳到 try 的末尾。
汇编级别反调试(4)
青月的成长记录吖
03-26 139
它很可能会破坏代码并使进程崩溃。另一方面,我们可以用一些有意义的代码来修补返回地址,而不是NOP,并更改程序的控制流。然后,我们将此缓冲区标记为保护页,将处理调试器存在情况的地址推送到堆栈,并跳转到分配的缓冲区,然后RET执行,我们会找到我们推送到堆栈的地址。也可以使用ReadFile(),WriteProcessMemory(),Toolhelp32ReadProcessMemory()对目标进程进行修复跳转。可以检查进程内存并在代码中搜索软件断点,或者检查CPU调试寄存器以确定是否设置了硬件断点。
__readfsbyte、__readfsdword、__readfsqword、__readfsword
u013043103的博客
06-25 3558
Microsoft 专用 从偏移量的指定位置读取内存相对 FS 段开头。 语法 unsigned char __readfsbyte( unsigned long Offset ); unsigned short __readfsword( unsigned long Offset ); unsigned long __readfsdword( unsigned long Offset ); unsigned __int64 __readfsqword( unsi...
__readfsdword未定义
zxllds的专栏
03-02 3913
error C3861: '__readfsdword': identifier not found 解决方案:#include 即可
四种方法获取Teb和Peb
QXinHan的博客
12-05 2689
反调试示例代码
最新发布
luduxin001的博客
12-08 490
反调试示例
iOS安全防护系列之ptrace反调试汇编调用系统方法详解
08-27
本文将深入探讨ptrace反调试技术以及汇编调用系统方法,这些都是iOS开发者和安全研究人员必备的知识。 首先,ptrace是一个系统调用,允许一个进程监视和控制另一个进程。在iOS环境中,它被广泛用于调试工具,如lldb...
汇编级别反调试(3)
青月的成长记录吖
03-26 252
当CREATE_PROCESS_DEBUG_EVENT事件发生时,被调试文件的句柄存储在CREATEPROCESS_DEBUG_INFO结构中。如果程序正在被调试,那么使用ntdll!和用户模式一样,都从KUSER_SHARED_DATA 页面中获取数据,此页面以只读方式映射到虚拟地址的用户模式范围中,并在内核范围中读写。如果程序被调用到内存,文件句柄将会保存在LOAD_DLL_DEBUG_INFO,所以同理我们直接去load某一个文件,并用CreateFileA打开,如果失败就代表被占用。
Win32( 线程控制_CONTEXT结构体)
2301_77816603的博客
12-07 448
终止线程。
汇编中遇到的一些特殊的指令
吖吖狼 的专栏
10-24 1814
1、CDQ  CDQ 把原来的 EAX 扩展成 EDX:EAX (带正负值), 这个指令把 EAX 的第 31 bit 复制到 EDX 的每一个 bit 上。例如:         假设 EAX 是 FFFFFFFB (-5) ,它的第 31 bit (最左边) 是 1, 执行 CDQ 后, CDQ 把第 31 bit 复制至 EDX 所有 bit         EDX 变成 FFFFFF
原神反调试分析
热门推荐
u011442768的博客
10-21 1万+
打开CE,打开原神启动器。 至此,游戏未加载驱动。启动器可以被CE正常读写。 打开原神,CE中选择YuanShen.exe,发现原神并不能被读写。 尝试分析不能读写的原因。 CE调用的读取内存函数是NtReadVirtualMemory 猜测有三种可能 1.NtReadVirtualMemory被HOOK 2.ObCallBack 3.infinityhook 第一种情况因为X64系统PatchGuard的存在排除。当然VT也是有可能的,现在先不考虑。 第二种情况是最有可能的。 第三种情况感觉不大靠谱。
C++汇编揭秘1 – 一个简单C++程序反汇编解析
09-27 746
 如果想要了解C++内部的实现原理,没有什么比观察C++代码对应的汇编代码来的更直接了。本系列主要从汇编角度研究C++代码和汇编的对应关系,揭示C++内部的机制和原理。在第一篇文章中我将从一个简单的C++程序着手快速解释一下C++汇编代码的基本的结构和内容,相当于一个简单的Preview。而在后续的文章中,我将根据不同的Topic,详细解释C++代码对应的反汇编代码。  一个简单的C
4.4 x64dbg 绕过反调试保护机制
m0_62396648的博客
07-08 2027
我们以第一种反调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,则返回True,否则返回False。函数通过检查特定的内存地址来判断是否有调试器在运行。具体来说,该函数检查了PEB(进程环境块)数据结构中的字段,该字段标识当前程序是否处于调试状态。如果该字段的值为1,则表示当前程序正在被调试,否则表示当前程序没有被调试。获取PEB的方式有许多,虽然LyScript插件内提供了。
C 在函数声明前加typedef
ma_de_hao_mei_le的博客
08-09 454
一开始看感觉很奇怪,不知道为啥前面要加一个typedef,后来网上搜了搜,看到下面这个问答。顿时就明白怎么回事了,我来自己举个例子。在学习驱动开发的时候看到下面这种代码。
Windows shellcode编写和提取细节
蚁景网安学院
03-01 642
0x00 shellcode编写首先shellcode的编写可以用纯汇编也可以用c++,其两者难易程度可想而知,还是抱住VS的大腿,不过这其中要注意一些代码格式和编译选项,以确保生成的s...
7. SEH + 硬件断点HOOK
My classmates
11-04 2483
DLL #include&lt;windows.h&gt; #include &lt;TlHelp32.h&gt; #include &lt;stdio.h&gt; #include &lt;limits.h&gt; typedef HANDLE(WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); OPENTHR...
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7772
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
反硬件断点
mqzzqian的专栏
06-08 2823
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1404 作者:mengwuji 检测硬件断点,是一件很有趣的事儿,至少这玩意儿可以让xx工具威力丧失一半儿。不过对于这方面的探讨是比较少的,主要在于一般检测硬件断点的方法,不外乎用NtGetContextT
CONTEXT structure
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
01-23 2944
原文链接:http://msdn.microsoft.com/en-us/library/windows/desktop/ms679284%28v=vs.85%29.aspx 本文链接: 参考资料:1、来自互联网http://www.bitscn.com/plus/view.php?aid=48915中的部分内容。                     2、微软的WinNT.h头文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青月

打赏会让我更加有动力分享!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值