反调试

最新推荐文章于 2024-12-08 11:43:55 发布
最新推荐文章于 2024-12-08 11:43:55 发布
阅读量324 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mslieng1011/article/details/78453303
本文介绍了如何通过检查PEB中的调试标记来判断进程是否被调试,并提供了几种反调试的方法,包括修改PEB中的值及利用HOOK技术过滤API返回值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PEB
BeginDebug :
调试标记位,当值为1,说明本进程处于被调试状态
//获取调试标记位的值
bool begindebug = IsDebuggerPresent();
if(begindebug)
{
//被调试
}
反反调试方法 : 修改PEB为原始值,OD插件自带了
原始API
int info;
NtQueryInfomationProcess(GetCurrentProcess(),
查询信息类型,
&info,
sizeof(info),
NULL);
查询信息类型 :
0x07 : 获取调试端口(ProcessDebugPort),被调试 0XFFFFFFFF
0x1E : 获取调试句柄(ProcessDebugObjectHandle),被调试,非NULL
0X1F : 获取调试标记(ProcessDebuglag),被调试,为0
反反调试方法 : 找到具体的函数调用,更改其条件跳转
或利用HOOK过滤函数的返回值

mslieng1011
关注
反调试技术
bj5716的博客
04-21 1058
前言反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
阿布反调试工具插件下载
09-01
然而,随着网络安全的提升,一些软件开发者开始采用反调试技术来保护自己的产品免受非法篡改和分析。"阿布反调试工具插件"就是这样一个工具,它旨在检测和阻止调试器的连接,从而保护软件的安全性。 阿布反调试工具...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
反调试技巧总结-原理和实现
weixin_30535843的博客
06-07 516
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
反调试合集
2301_79688571的博客
10-14 1028
反调试是一种用于阻碍程序动态调试的技术,首先大致说明一下反调试的工作原理。在操作系统内部提供了一些API,用于调试器调试。当调试器调用这些API时系统就会在被调试的进程内存中留下与调试器相关的信息。一部分信息是可以被抹除的,也有一部分信息是难以抹除的。当调试器附加到目标程序后,用户的很多行为将优先被调试器捕捉和处理。其中大部分是通过异常捕获通信的,包括断点的本质就是异常。如果调试器遇到不想处理的信息,一种方式是忽略,另一种方式是交给操作系统处理。检测内存中是否有调试器的信息。
反调试总结
weixin_52369224的博客
03-03 739
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与反调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
阿布反调试工具-2024.05.10新版
06-10
"阿布反调试工具-2024.05.10新版" 是一款专为应对软件调试而设计的应用程序,旨在保护软件不被逆向工程分析和调试。这款工具可能包含了一系列先进的反调试技术,使得调试者难以对目标程序进行深入的分析和篡改。在...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自建调试体系_
09-29
【VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自建调试体系_】这个项目主要涉及的是在软件开发中的一项关键技术——虚拟化技术(Virtualization Technology,VT)的应用,特别是在自建调试体系方面的实践。...
各种反调试技术原理与实例VC版_fallpx8_反调试_Vc_
09-29
然而,有些恶意软件或程序作者为了防止他们的代码被逆向工程分析或调试,会采用反调试技术。本篇文章将深入探讨反调试技术的原理,并以VC++环境为例,通过实例来阐述这些技术。 反调试技术主要目标是检测调试器的...
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
各种反调试技术原理与实例 VC版[学习CK].
11-10
反调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
反调试 - 调试对象
LYSM
07-14 648
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局反调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <W
爬虫(反调试
2301_77869606的博客
10-11 1169
其实就是一种给页面反爬机制,一般页面用不到。
关于反调试&反反调试那些事
pilgrim1385的专栏
11-29 2112
前言 在逆向和保护的过程中,总会涉及到反调试和反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段以及反反调试的方法。 反调试 ptrace 为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_D
反调试技术简介
最新发布
LH1013886337的博客
12-08 1802
反调试技术,即软件作者防止其他人对软件进行调试的技术,是一种软件安全保护技术,可以通过改变自己的正常执行路径、修改自身导致崩溃等操作,增加调试时间和复杂度反反调试技术:在代码运行期间动态修改代码,使其不能调用反调试检测功能。
高级反调试
寻梦&之璐
01-27 1294
垃圾代码 无意义的代码,也就是用来磨炼逆向人员的。。 扰乱代码对齐 这个的话,利用了代码对齐的状况,就中间插入了一个或者两个字节的指令,使得指令解析的时候,发送事故。但是在执行的时候并不会出现报错,利用跳转来控制运行流程。举个例子: 例1: 0041510F FFE3 JMP EBX //EBX=415117 00415111 C9 LEAVE 00415112 C2 0800 RETN 8 00415115 A3 687801FF MOV DWORD PTR DS:[FF01726
逆向入门-反调试
AppWhite_Star的博客
07-30 2562
逆向基础-反调试专题
Windows TLS反调试技术解析
本文档深入探讨了"TLS反调试的前世今生"这一主题,主要聚焦于Windows系统中的ThreadLocalStorage (TLS) 技术在对抗调试中的应用。TLS最初设计是为了在多线程环境下确保全局变量的安全访问,通过操作系统提供的互斥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值