IsDebuggerPresent解密

最新推荐文章于 2023-08-23 15:58:02 发布
最新推荐文章于 2023-08-23 15:58:02 发布
阅读量1.7k 收藏
点赞数
分类专栏: 加密解密 文章标签: byte 解密 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chence19871/article/details/7550648
版权
本文介绍了如何通过IsDebuggerPresent函数检查程序是否被调试。通过分析内存布局,定位到进程环境块(PEB)中的调试标志,并提供了汇编代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

看看IsDebuggerPresent函数的秘密:

7C812E03 >  64:A1 18000000           mov     eax, dword ptr fs:[18]
//指向TEB自身,也就是FS
7C812E09    8B40 30                  mov     eax, dword ptr [eax+30]
//指向PEB
7C812E0C    0FB640 02                movzx   eax, byte ptr [eax+2]
//PEB前进两个字节取Byte
7C812E10    C3                       retn

先取FS:[18]处的指针,跟进,找到偏移为30h处的指针,再跟进,然后移动两个字节就可以看到IsDebuggerPresent标记了。为1表示当前程序处于调试状态,为0表示NOT.这样我们就可以手动修改内存了,哈哈

 简化代码:

__asm
  {
    mov eax, fs:[30h] ;EAX =  TEB.ProcessEnvironmentBlock
    inc eax
    inc eax
    mov eax, [eax]
    and eax,0x000000ff  ;AL  =  PEB.BeingDebugged
    test eax, eax
    jne is_debuging
    jmp is_not_debuging
  }

一句话:DEBUG标记就在进程环境块(PEB)的第三个字节上面
 

VB IsDebuggerPresent 反调试 爱琴海.rar
07-10
VB IsDebuggerPresent 反调试程序实例,作者:爱琴海,告诉你什么时候可以发现调试器,标识当前时间。这个源码是在VB软件防破解相关资料中整理出来的,和VB程序防破解有一定关系。
part01_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-17
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
IsDebuggerPresent()
weixin_30505751的博客
09-28 378
IsDebuggerPresent()该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 BOOL APIENTRY IsDebuggerPresent(VOID) { return NtCurrentPeb()->BeingDebugged; } 在x86下用win...
isdebuggerpresent
云守护的专栏
09-14 736
// isdebuggerpresent.cpp : Defines the entry point for the console application. // #include #include #include int main(int argc, CHAR* argv[]) { //__asm { int 3 } typedef long NTSTATUS; #
反调试学习——IsDebuggerPresent
weixin_41693985的博客
05-31 1530
IsDebuggerPresent ***IsDebuggerPresent***的作用是检测自身进程是否处于调试状态,如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 写了个小程序试验绕过: 绕过目前我自己有两种思路: 1.在判断处做改变 2.IsDebuggerPresent做改变 代码如下: if (IsDebuggerPresent()) { MessageBox(TEXT("有调试器在调试!")); } else { MessageBox(T
关于IsDebuggerPresent
weixin_30686845的博客
05-30 148
  关于IsDebuggerPresent()函数的文章已经数不胜数了,随便一搜就能找出一堆来,但是我还是准备写一份放在这里,算是留个备份吧。   微软给我们提供了一个API函数用来检测当前程序是否正在被调试,这就是可怜的IsDebuggerPresent() ,这个函数的存在似乎只是为了证明在Windows的世界里确实存在一个最杯具的API函数……这个函数的实现很简单,直接windbg查看一下...
part03_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-17
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part04_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-16
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part05_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-16
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
part02_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-16
├──IsDebuggerPresent..利用IsDebuggerPresent检测 ├──Parent.............检查父进程 └──STARTUPINFO........检查STARTUPINFO结构 \Anti-Monitor..............Anti-Monitor示例 ├──FindWindow......
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.pdf
07-25
西班牙的一套OD使用教程,很不错。这是其中一部分。
反调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 774
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
常见反调试手段及其规避方法(一)-IsDebuggerPresent
weixin_34198797的博客
05-06 3622
2019独角兽企业重金招聘Python工程师标准>>> ...
反调试技术- IsDebuggerPresent,原理 与 反反调试
desword-- 技术,杂文。
07-25 6925
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
C++ Windows API IsDebuggerPresent的作用
琅嬛福地
08-23 380
当你在没有附加调试器的情况下运行此程序时,它将输出 “Debugger is not attached.”。例如,恶意软件可能使用这个函数来检测其自身是否被安全研究人员调试,如果是,则可能采取一些措施来干扰调试或直接结束执行。是 Windows API 中的一个函数,它用于检测当前运行的程序是否正在被调试。当程序被如 Visual Studio 这样的调试器附加时,此函数会返回。作为安全机制是不可靠的,因为经验丰富的逆向工程师知道如何绕过这样的检查。
IsDebuggerPresent原理及其 c++实现
weixin_34087307的博客
10-08 242
  在IsDebuggerPresent下断,步入得到如下代码: 750E38F0 | 64 A1 18 00 00 00 | mov eax,dword ptr fs:[18] | eax:std::cout 750E38F6 | 8B 40 30 | mov eax,dword ptr ds:[eax+30] ...
简析IsDebuggerPresent函数原理
qq_33526144的博客
12-04 715
IsDebuggerPresent函数的代码如下: 64:A1 18000000 mov eax, dword ptr fs:[18] //fs寄存器指向了TEB 8B40 30 mov eax, dword ptr [eax+30] 0FB640 02 movzx eax, byte ptr [eax+2] C3 ret...
ctf逆向aes加密
最新发布
03-31
<think>好的,用户想了解CTF比赛中关于AES加密的逆向分析方法。首先,我需要回忆一下AES的基本原理和常见模式,因为在逆向分析中,识别加密算法是关键。AES有多个步骤,比如字节代替、行位移、列混淆和轮密钥加,这些步骤在代码中可能会有特定的特征。 接下来,用户提到的参考资料里提到了一些关键点,比如S盒和密钥扩展。逆向分析时,查找S盒的使用可能有助于识别AES的存在。S盒是固定的置换表,如果在反汇编代码中看到大量固定的256字节数组,那可能是S盒或逆S盒。此外,密钥扩展过程生成轮密钥,这也是一个特征点。 然后,考虑加密模式。比如ECB模式每个块独立加密,而CBC需要IV。在逆向时,查找IV的存储位置或生成方式很重要。例如,IV可能硬编码在程序中,或者通过某种算法生成,这会影响如何构造解密脚本。 还要注意反调试和SMC(自修改代码)技术,这些在CTF题中常用来保护AES的实现。例如,程序可能在运行时解密关键代码,干扰静态分析。这时候需要动态调试,或者识别出SMC的触发点,手动提取解密后的代码。 另外,密钥的存储方式也很重要。密钥可能被分成多个部分,隐藏在代码的不同位置,或者通过某种运算动态生成。逆向时需要跟踪密钥的生成过程,可能需要将各个部分拼接起来,或者逆向生成算法。 还有,如果题目使用了自定义的S盒或修改了AES的某些步骤,比如改变行位移的方向,这就需要分析具体的实现细节。这时候对比标准AES的流程,找出差异点,才能正确解密。 最后,编写解密脚本时,可能需要利用现有的加密库,如PyCryptodome,但要确保模式、填充方式、密钥和IV都正确匹配。如果遇到问题,需要检查每一步的参数是否正确,特别是字节序和填充的处理。 总结一下,逆向AES的步骤大致是:识别算法特征,确定模式和密钥,处理反调试/SMC,分析密钥生成,编写解密脚本。同时结合动态分析和静态分析,逐步拆解保护措施,最终提取关键参数进行解密。</think>### CTF中AES加密逆向分析技巧 #### 1. **识别AES算法特征** - **S盒与逆S盒**:AES的核心组件是固定的$256$字节S盒(SubBytes)和逆S盒。在逆向分析中,若发现程序代码中存在固定的$256$字节数组(例如`0x63, 0x7c, 0x77...`),极可能是S盒或逆S盒[^3]。 - **密钥扩展**:AES需要生成轮密钥(Round Keys),密钥扩展过程包含循环左移、S盒置换等操作。逆向时需关注密钥生成逻辑,尤其是对初始密钥的多次变换。 - **加密轮数**:根据密钥长度(如AES-128为$10$轮),可通过循环结构或轮密钥数量判断具体类型。 #### 2. **分析加密模式与参数** - **模式识别**:AES常见模式包括ECB、CBC、CTR等。例如,CBC模式需要初始向量(IV),逆向时需查找IV存储位置或生成方式(如硬编码、动态计算)[^1]。 - **填充方式**:PKCS#7填充是常见方案,需在解密后验证填充合法性。若程序包含填充校验逻辑(如检查最后一个字节的值),可辅助确认填充类型。 #### 3. **定位关键数据** - **密钥与IV提取**:密钥可能被分割存储或动态生成。例如,密钥可能由多个字符串拼接后经过哈希处理生成,需跟踪内存操作或调试提取。 - **密文定位**:密文通常以字节数组形式存储在数据段,或通过文件/网络输入。若程序包含加密函数调用,可通过参数传递路径定位密文[^4]。 #### 4. **对抗反调试与SMC** - **反调试绕过**:部分题目会通过`except_handler`或`IsDebuggerPresent`检测调试器,需使用插件(如ScyllaHide)或修改标志位绕过[^1]。 - **SMC处理**:自修改代码(Self-Modifying Code)会动态解密关键函数。可通过动态调试在解密后DUMP内存,或静态分析解密算法还原代码。 #### 5. **编写解密脚本** ```python from Crypto.Cipher import AES from Crypto.Util.Padding import unpad key = b'ctf_race_key123' # 提取的密钥 iv = b'initial_vector_iv' # 提取的IV ciphertext = open('encrypted.bin', 'rb').read() cipher = AES.new(key, AES.MODE_CBC, iv) plaintext = unpad(cipher.decrypt(ciphertext), AES.block_size) print(plaintext.decode()) ``` - **注意事项**:需确保模式、填充方式与目标程序一致,否则解密可能失败。 #### 6. **实战案例** - **案例1**:某CTF题通过修改S盒实现自定义AES,需对比标准S盒差异后逆向置换逻辑[^4]。 - **案例2**:程序使用CBC模式但IV由时间戳生成,需在内存中捕获IV或通过漏洞预测。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值