Anti Debug

最新推荐文章于 2025-06-30 16:12:53 发布
原创 最新推荐文章于 2025-06-30 16:12:53 发布 · 479 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#byte #测试

本文介绍了一种通过检测进程环境块中的BeginDebugged标志来判断程序是否正在被调试的方法。使用了内联汇编来直接读取该标志的值,从而实现有效的反调试。
一 、对抗动态调试
1 ring3的OD,
  当OD调试一程序时,被调试的程序是被调试器当做自己的一个子线程来进行跟踪。
  这时,被调试的程序所对应的进程环境块(Process Environment Block)结构的偏移2H处BeginDebugged标志的值是1,如果没有被调试器加载调试,则其值为0。
反调试代码:
BOOL BeDbg()
{
BOOL bRet = FALSE;

__asm
{
mov eax, fs:[30h]//获取线程环境块中对应的进程环境块的地址
movzx eax, byte ptr [eax + 2h]//获取BeginDebugged标志的值
or al, al//测试BeginDebugged标志的值
jz @NO
jnz @YES
@NO:
 mov bRet, 0
@YES:
 mov bRet, 1
}

return bRet;
}
pengdawei521
关注
实战案列:AntiDebug
YJJYXM的博客
12-07 633
Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。
Anti Debug:实战讲解
YJJYXM的博客
09-10 702
安卓逆向交流学习:342647370 vx:yijin1108an Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。 一.IDA里面静态分析so文件 1.将文件拖入jdax-gui中,进行静态分析,会发现OnCreate里面没多少内容,并且上面加载了so库,如下图所示。 2.将SO文件拖入,找到JNI_OnLoad,如下图所示。 3.按F5查看伪代码,如下图所示。 4.除了动态注册这个参数外,还有两个参数的传递,其中一个是简单的if判断,它使用的是或运算符,只要其中有一个成立
Windows_Anti-Debug_Reference
08-19
windows下的反调试技术参考 英文 介绍经典反调试技术
探索高效安全的程序调试防御——anti-debug
gitblog_00032的博客
06-26 504
探索高效安全的程序调试防御——anti-debug 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在软件开发中,防止未经授权的调试是一个重要的安全性需求。anti-debug 是一个开源项目,专为对抗恶意或非法的程序调试设计。它提供了一套跨平台的API和库,可以帮助开发者构建自我保护的应用,有效检测并阻止外部调试器的挂接,保护代码的安全性和知识产权。 2、项目技术...
Anti-Debug 小试牛刀
狼族小子的专栏
12-04 3445
Anti-Debug 小试牛刀  本文整理了日常生活中遇到的一些Anti-Debug技术,除非特殊说明,均适用于Mac/iOS开发 作为第一篇正式博文,会不定期更新,谢谢大家. 禁止附加或调试-ptrace中断检测-int3检测lldb更多 禁止附加或调试-ptrace PT_DENY_ATTACH1 is an Apple-specific constant
anti-debug1——侦测
40KO的博客
01-23 575
BeingDebugged标记 最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()->BeingDebugged; } 要找到BeingDebugged在当前进...
AntiDebug1_AntiDebug_windows_programming_
10-01
"AntiDebug1_AntiDebug_windows_programming_"这个主题涉及到的就是这些反调试技巧的第一部分。 反调试技术主要目标是使恶意软件或保护性程序更难以分析,以防止黑客、研究人员或安全工具深入探索其内部工作原理。...
巧妙利用SEH异常链AntiDebug及Od反AntiDebug1
08-08
《巧妙利用SEH异常链进行AntiDebug及OD反AntiDebug技术解析》 在软件安全领域,反调试技术是开发者用来防止恶意分析或逆向工程的一种手段。本文将深入探讨如何利用Structured Exception Handling(SEH)异常链进行...
frida-antidebug
最新发布
06-30 425
【代码】frida-antidebug
anti-debug2——扰乱
40KO的博客
01-23 725
利用SEH反调试 在SEH的机制下,当发生异常时,操作系统会接收这个异常然后调用进程中注册的SEH处理,但这样的异常发生在调试中时,异常就会由调试器来接收处理,根据这个特征就可用来反调试。 EXCEPTION_BREAKPOINT是断点异常,若程序处于调试运行状态。则系统会立刻停止运行程序,并将控制权交给调试器。所以当遇到int3指令时,正常运行的程序会调用SEH中的代码处理,而调试中的...
al-khaser:野外使用的公共恶意软件技术
05-22
Al-Khaser v0.80 内容 介绍 al-khaser是具有良好意图的PoC“恶意软件”应用程序,旨在强调您的反恶意软件系统。 它执行一系列常见的恶意软件技巧,以查看您是否处于监视之下。 下载 您可以在此处下载最新版本: x86 | x86 。 x64 。 抱歉,由于二进制文件触发了Google的“安全浏览”启发式操作,因此已被删除。 可能的用途 您正在制作一个防调试插件,并且想要检查其有效性。 您要确保沙盒解决方案足够隐藏。 或者,您想确保您的恶意软件分析环境隐藏得很好。 请,如果您遇到了在恶意软件中遇到的任何反分析技巧,请不要犹豫做出贡献。 特征 反调试攻击 IsDebuggerPresent CheckRemoteDebuggerPresent 流程环境块(已调试) 流程环境块(NtGlobalFlag) ProcessHeap(标志) Proces
种类齐全的调试与反调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
12306Bypass_1.9.10
01-21
12306火车票抢票软件12306bypass最新1.9.10版本,本人亲测可用
anti-debug0——结构
40KO的博客
01-23 277
注:这里的反调试技术主要针对Windows平台 TEB TEB指线程环境块,它是一个结构体,包含进程中运行线程的各种信息,每个线程中都有一个对应的TEB结构体。由于这个结构体实在太复杂,这里只说几个跟调试有关的部分。 +0x30 ProcessEnvironmentBlock 它是指向PEB结构体的指针,PEB是进程控制块,每个进程都有一个对应的PEB +0x00 Nt...
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2208
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 1303
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
al-khaser学习笔记(一)Anti Debug
weixin_30528371的博客
09-07 598
al-khaser 最近在研究开源项目al-khaser在野恶意软件使用的常用技术 github https://github.com/LordNoteworthy/al-khaser Anti Debug 这一部分主要是通过各种函数去确定当前进程是否处于被调试的状态。 VOID exec_check(int(*callback)(), TCHAR* szMsg) 两参数,第一...
探索恶意软件策略的利器——Al-Khaser v0.81
gitblog_00122的博客
08-15 767
THE 0TH POSITION OF THE ORIGINAL IMAGE ## 一、项目简介 Al-Khaser是一款非传统意义上的“恶意软件”,它的核心目标是帮助安全研究人员和反病毒软件开发者测试其系统的抗逆向分析能力。通过模拟一系列常见的恶意软件技巧,Al-Khaser提供了一个评估安全环境隐藏效果的平台。 THE 1TH POSITION OF THE ORIGINAL IMAGE...
ExtractorSharp 项目使用文档
gitblog_00152的博客
08-08 491
ExtractorSharp 项目的目录结构如下: ``` ExtractorSharp/ ├── Component/ │ ├── ExtractorSharp.Core/ │ ├── ExtractorSharp.Json/ │ ├── ExtractorSharp.UnitTest/ ├── Licenses/ │ ├── gitattributes │ ├── git...
元旦开源 AntiDebug 工具分享及使用教程
### 标题:“AntiDebug.rar” #### 知识点一:软件逆向工程中的反调试技术(Anti-Debugging) 反调试技术是软件安全领域的一个重要组成部分,用于阻止或延缓逆向工程过程。在逆向工程中,开发者或者攻击者会使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值