逆向学习笔记(4)——动态反调试技术

最新推荐文章于 2024-08-13 10:39:04 发布
最新推荐文章于 2024-08-13 10:39:04 发布
阅读量989 收藏 2
点赞数
分类专栏: 逆向工程笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/musilintan/article/details/115621123
版权

1.SEH异常处理

windows中存在许多的异常处理类型,如下:

EXCEPTION_DATATYPE_MISALIGNMENT        (0x80000002)
EXCEPTION_BREAKPOINT                   (0x80000003)   断点异常
EXCEPTION_SINGLE_STEP                  (0x80000004)   单步执行
EXCEPTION_ACCESS_VIOLATION             (0x80000005)   非法访问内存
EXCEPTION_IN_PAGE_ERROR                (0x80000006)
EXCEPTION_ILLEGAL_INSTRUCTION          (0x8000001D)   无法识别的指令
EXCEPTION_NONCONTINUABLE_EXCEPTION     (0x80000025)
EXCEPTION_INVALID_DISPOSITION          (0x80000026)
EXCEPTION_ARRAY_BOUNDS_EXCEEDED        (0x8000008C)
EXCEPTION_FLT_DENORMAL_OPERAND         (0x8000008D)
EXCEPTION_INT_DIVIDE_BY_ZERO           (0x80000094)   除法运算分母为0
...

而反调试技术则可以利用异常处理机制来进行反调试处理。

1)在异常处理过程函数中进行静态反调试判断。例如判断PEB的调试标识等。

2)利用异常处理机制进行动态反调试。

如果程序处于调试状态时,在程序抛出异常后,会优先派发给调试器进行处理。此时就可以利用这一点进行反调试处理。如下代码:

00401000
最低0.47元/天 解锁文章
反调试-动态代码分析
weixin_45428960的博客
08-20 836
反调试-动态代码分析 1、动态解析代码 许多编程语言都允许动态解析源代码指令。这使得程序可以执行基于用户输入的动态指令。若不经过适当的验证,程序会错误地认为由用户直接提供的指令仅会执行一些无害的操作,会正常解析并执行该指令。远程用户可以提供特定URL以将任意代码传递给eval()语句,从而导...
常见动态反调试技术总结
lonmar的博客
06-27 2846
软件安全|反调试技术|动态反调试技术总结
动态反调试
weixin_30929011的博客
03-19 285
1.基于异常的反调试 (1) 基本原理: 注册SEH后, 正常情况下发生异常会转入SEH处理流程, 但是如果这时处于被调试状态则异常事件会先发给调试器. 基于这个原理就能探测到进程是否是 被调试运行. (2) 基于int 3 断点异常反调试 故意隔一段代码就调用一个会触发int 3异常的函数, 而且这个函数最后会退出进程或者故意运行到非法地址或者进入一段循环的长的垃圾代码. 如果...
动态反调试技术
寻梦&之璐
01-27 2451
异常 SEH Windows操作系统中的一些典型异常 EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) EXCEPTION_SINGLE_STEP (0x80000004) EXCEPTION_ACCESS_VIOLATION (0xC0000005) EXCEPTION_IN_PACE_ERROR (0xC0000006) EXCEPTIO
Windows逆向学习笔记——MFC原理:RTTI和消息映射 在逆向中的应用
weixin_38526180的博客
07-14 1216
test
安卓逆向学习笔记之安卓APP加壳技术分类与初识VMP.docx
04-01
4. **动态调试**: 利用Frida的动态调试能力,跟踪函数的执行路径,进一步确认VMP的存在及其工作原理。 ### 总结 通过本文的介绍,我们可以了解到Android APP加壳技术中的一个重要分支——VMP技术。它通过构建...
app逆向学习记录——2
最新发布
dbhbc的博客
08-13 374
请参照相关文档安装。
安卓逆向学习笔记之ADVMP源码分析与VMP壳简单上手().docx
04-13
### 安卓逆向学习笔记之ADVMP源码分析与VMP壳简单上手() #### 一、概述 本文档将深入探讨安卓逆向工程中的一个具体案例——ADVMP源码分析与VMP壳的基本操作。ADVMP(Virtual Machine Protection)是一种常见的...
【CTF-Reverse】IDA动态调试,反调试技术
WdIg-2023的博客
06-27 4117
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试:IDA动态调试,反调试技术
反调试技术总结,全面
12-03
反调试技术总结,反调试技术总结反调试技术总结
逆向工程核心原理》学习笔记(七):反调试技术
闵行小鱼塘
05-28 2787
继续学习《逆向工程核心原理》,本篇笔记是第七部分:反调试技术,包括一些静态反调试技术动态反调试技术
[反反调试] 时间
LYSM
11-09 395
参考 关于时间反调试方法参考这里 windows 获取系统时间的函数: void GetLocalTime( LPSYSTEMTIME lpSystemTime ); void GetSystemTime( LPSYSTEMTIME lpSystemTime ); BOOL QueryPerformanceCounter( LARGE_INTEGER *lpPerformanceCount ); BOOL QueryPerformanceFrequency( LARGE_INTEGE
Windows下反反调试技术汇总
qq138480084的博客
09-15 3025
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
Android逆向系列之动态调试1–入门篇
nangongyanya的专栏
09-15 4963
一、什么是动态调试 动态的意思就是指通过在真实或模拟环境中执行程序进行分析的方法,多用于性能测试、功能测试、内存泄露测试等方面。 百度百科:动态调试是指软件作者利用集成环境(IDE)自带的调试器跟踪自己软件的运行,来协助解决自己软件的错误 同样的,动态调试分为Java层和native层动态调试 Java层动态调试主要是调试smali文件 native层动态调试主要是调试so文件
静态反调试动态反调试
AkeyMaker的博客
11-15 2357
静态反调试特点:在调试开始阻拦调试者 静态反调试特点:调试过程中阻拦调试者,在调试中频繁触发
反调试 - int 2dh , int 3h
墨鱼菜鸡
07-12 292
原理 第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。 如果...
安卓应用加固之反动态调试技术总结
08-25 2022
0x00 前言 动态调试是比静态分析更为高效地一种破解手段。因此在破解安卓应用之前,一般会先对应用进行动态调试,了解应用大致运行流程和各个类之间的逻辑关系。 反动态调试可以从以下两个个方向着手: 1.运行环境检测:检测应用的运行环境是否安全,是否可能存在被调试的风险 2.动态调试指令检测:检测应用的运行过程中是否受到动态调试指令的控制 本文完全参考自网友 爱吃菠菜 的...
反调试学习
把梦想放飞在蓝色的天空里...
05-11 1397
1. INT 2D INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孤月丶星辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值