如何用Windbg调试禁止使用调试器的程序

最新推荐文章于 2025-03-04 09:33:39 发布
原创 最新推荐文章于 2025-03-04 09:33:39 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1. 运行目标程序,用Windbg关联上该进程,或者直接从Windbg中运行该程序

2. 切换到0号线程:

    ~0s

3. 修改进程是否附加调试器的标志:

0:000> dd fs:18:30
0018:00000030  7ffd9000 00000000 00000000 00000000
0018:00000040  fbed29f8 00000000 00000000 00000000
0018:00000050  00000000 00000000 00000000 00000000
0018:00000060  00000000 00000000 00000000 00000000
0018:00000070  00000000 00000000 00000000 00000000
0018:00000080  00000000 00000000 00000000 00000000
0018:00000090  00000000 00000000 00000000 00000000
0018:000000a0  00000000 00000000 00000000 00000000
0:000> db 7ffd9000
7ffd9000  00 00 01 08 ff ff ff ff-00 00 37 00 00 5d a6 77 

7ffd9010  d0 11 23 00 00 00 00 00-00 00 23 00 a0 54 a6
7ffd9020  00 00 00 00 00 00 00 00-00 00 00 00 60 40 3e 76 
7ffd9030  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
7ffd9040  30 53 a6 77 ff ff 3f 00-00 00 00 00 00 00 6f 7f 
7ffd9050  00 00 00 00 88 05 6f 7f-00 00 fa 7f 00 00 fa 7f 
7ffd9060  24 00 fd 7f 02 00 00 00-00 04 00 00 00 00 00 00 
7ffd9070  00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 
0:000> eb 7ffd9002 0
0:000> db 7ffd9000
7ffd9000  00 00 00 08 ff ff ff ff-00 00 37 00 00 5d a6 77 
7ffd9010  d0 11 23 00 00 00 00 00-00 00 23 00 a0 54 a6 77 
7ffd9020  00 00 00 00 00 00 00 00-00 00 00 00 60 40 3e 76 
7ffd9030  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
7ffd9040  30 53 a6 77 ff ff 3f 00-00 00 00 00 00 00 6f 7f 
7ffd9050  00 00 00 00 88 05 6f 7f-00 00 fa 7f 00 00 fa 7f 
7ffd9060  24 00 fd 7f 02 00 00 00-00 04 00 00 00 00 00 00 
7ffd9070  00 80 9b 07 6d e8 ff ff-00 00 10 00 00 20 00 00 

0:000> g

liuyan4794
关注
使用Windbg调试目标进程的一般步骤及要点详解
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
使用Windbg调试目标进程排查C++软件异常的一般步骤与要点分享
热门推荐
dvlinker的技术专栏
02-24 1万+
本文通过一个异常崩溃分析实例来详细讲解使用Windbg动态调试目标进程的一般步骤及完整过程,很有实战参考价值。
Windbg调试去掉无用输出
feixi7358的博客
03-08 1974
windbg中输入 0: kd> ed nt!Kd_SXS_Mask 0 0: kd> ed nt!Kd_FUSION_Mask 0
如何使用Windbg自动抓取禁止使用调试器程序的dump
青牛的专栏
02-11 2574
前面我们讲到了如何使用Windbg调试禁止使用调试器程序,但是如果该程序并不是每次都会发生异常,而我们又想抓取异常的第一现场,每次启动程序的时候都输入命令太麻烦了,本文主要讲述如何自动处理这个问题。 1. 使用IFEO自动加载调试器    注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image
调试技巧总结-原理和实现
weixin_34392435的博客
02-23 478
总结: 1. FindWindow。比如 FindWindowA("OLLYDBG", NULL); 2. EnumWindow函数调用后,系统枚举所有顶级窗口,为每个窗口调用一次回调函数。在回调函数中用 GetWindowText得到窗口标题,进行检测。 3. GetForeGroundWindow返回前台窗口(用户当前工作的窗口)。当程序调试时,调用这个...
windbg script ---- 禁用IsDebuggerPresent
weixin_30484739的博客
07-08 115
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32 转载于:https://www.cnblogs.com/hgy413/p/3693400.html...
windbg使用方法_使用 YARA 规则阻止 Windows 事件日志记录
weixin_39903872的博客
12-10 350
更多全球网络安全资讯尽在邑安全Windows事件日志加上Windows事件转发和Sysmon工具是非常强大的防御手段,他们可以检测、记录到攻击者的每一步攻击过程。显然,这对攻击者来说是个问题。在攻击者完成提权操作之前,他们逃避事件日志的方法是有限的,但是一旦完成提权,就成了一个平等的竞技场。我以前发布过一个通过加载恶意的内核驱动程序和Hook住NtTraceEvent系统调用来躲避日志记...
使用Windbg调试目标进程的一般步骤详解
dvlinker的技术专栏
01-09 1万+
有时需要使用Windbg动态调试目标程序去排查软件异常,本文通过一个问题实例详细介绍使用Windbg动态调试目标进程的一般步骤及相关要点。
使用Windbg分析dump文件定位软件异常的方法与操作步骤
最新发布
dvlinker的技术专栏
03-04 7万+
本文详细讲述了使用Windbg分析dump文件的一般步骤与诸多细节,并给出了一个实战分析实例,有一定的实战参考价值。
Windbg调试命令汇总
dvlinker的技术专栏
10-19 2万+
Windbg调试命令汇总
windbg设置为默认调试器命令
weixin_30244889的博客
12-17 404
前提条件:安装好windbg软件(默认安装位置) 以截取组态王运行系统崩溃为例: 64位系统0.文件更新替换 将Touchvew.exe以及Touchvew.pdb覆盖替换C:\Program Files (x86)\kingview下的同名文件,记得提前备份原文件 1.配置好windbg的符号路径 (Touchvew.pdb所在路径) 打开Windbg,File->Symbol ...
第十一章 软件保护技术(五)(反调试技术)
zlmm741的博客
05-17 1087
文章目录反调试技术调试器状态检测调试器端口检测结论进程状态检测 反调试技术 目的 防止程序被第三方调试器调试和分析 方法 在程序启动过程中检查其是否被调试器附加 自身程序的父进程是否存在异常 进程列表中是否有正在运行的调试器 …… 实例:CheckDebugger 调试器状态检测 动态调试通过调试器 Hook 软件,进而获取软件运行时的数据。可在软件中添加检测调试器的代码,检测到软件被调试器连接则中止运行 Android SDK 提供 android.os.Debug.isDebu
Windbg 设置成默认调试器
slient001的博客
05-01 2187
使用全路径运行windbg 带 -I参数,必须大写的I c:\windbg\windbg.exe  -I
WinDBG 技巧:设置系统默认调试器
hanshuangfly的专栏
10-12 3127
程序崩溃时,windows系统会调用系统默认调试器,其设置在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug(注:64位windows的上的路径不同,在HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Microsoft/Windows NT/CurrentVersion/AeDebug/Debugger? )这里面有2个主要的值:Auto?= 0 的时候,系统会弹出一个对话框,
使用WinDbg作为默认调试器调试本机应用程序
谢绝(无视)留言与私信
07-01 4875
今天在写一个文件合并小工具,  因为程序较小,  编译成Release版带调试符号, 直接运行的. 后来改了点东西, 运行时突然报错. 我以前已经运行过(WinDbg -I), 在本机已经将WinDbg作为默认调试器,  当报错时, 被WinDbg接住了~ !analyze -v, 我没有看到源码崩溃行指示, 和我上次专门做的实验表现不一样. 现在要加载工具的符号, 使 !a
Error attaching to process: Windbg Error: WaitForEvent failed 拒绝访问 JStack命令
xiaopang5678的博客
11-30 1891
先说结论 应该达成jar包 使用java -jar 命令启动jar包 再进行命令 大部都是windows 下 在idea环境下直接运行项目 然后再使用cmd 运行JStack 命令 结果会报错 是因为环境版本不一致 一个32位的一个是64位的 ...
Windows下反反调试技术汇总
qq138480084的博客
09-15 3423
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
彻底掌握Windbg调试工具:使用与实践指南
weixin_30481539的博客
09-15 5363
本文还有配套的精品资源,点击获取 简介:本文详细介绍如何使用Microsoft的Windbg调试工具,一款广泛应用于软件开发、系统管理和安全领域的强大调试平台。内容涵盖从基本界面设置到高级调试技术,通过逐步指导帮助读者深入了解和掌握Windbg的核心功能。文章还强调了如何将Windbg与源代码及其他开发工具集成,并提供学习资源和社区支持,旨在提升用户在故障排查和软件调试方面...
指定进程启动时Windbg自动Attach
aoebug的博客
07-22 3028
指定进程启动时Windbg自动Attach  1. 在Windbg安装目录中找到gflags.exe 2. 配置信息 3. 保存运行a.exe时就会自动Attach上。 实际这个工具是在注册表添加了一个键值,具体如下: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Fi
驱动级进程防杀程序(慎用)下载
“进程防杀程序(小心使用)”这一标题所涉及的技术领域属于操作系统底层安全机制与进程管理的交叉范畴,具体指向一种能够防止特定进程被终止或被任务管理器、第三方软件等手段强制结束的程序工具。从描述“驱动级别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值