异常和中断——调试与反调试

最新推荐文章于 2025-06-06 22:05:00 发布
原创 最新推荐文章于 2025-06-06 22:05:00 发布 · 508 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#调试与反调试

文章目录

使用PEB进行反调试

使用PEB中的BeginDebug字段来检测是否处于调试环境。

//若返回值为TRUE则表示处于调试状态
bool CheckDebug()
{
   
   
	bool bDebuged = false;
	_asm push eax;
	_asm mov eax, fs:[0x30];// eax保存PEB首地址
	_asm mov al,byte ptr ds:[eax + 2];//BeginDebug字段的值
	_asm mov bDebuged, al;
	_asm pop eax
	return bDebuged;
}

使用 IsDebuggerPresent()来判断是否是处于调试环境。

原理和上面一个一样;如:

// IsDebuggerPresent()返回值为True则表示处于调试状态
	bool bDebug = IsDebuggerPresent();//它使用的方式,和上一个是一样的
	if (bDebug)
	{
   
   
		MessageBox(NULL, L"正在被调试", L"注意", 0);
	}
	else
	{
   
   
		MessageBox(NULL, L"现在很安全", L"恭喜", 0);
	}

检测PEB的GLobal来判断是否处于调试环境

在PEB+0x68处为peb的global字段,当其值=0x70时表示处于调试环境。

bool CheckDebug()
{
   
   
	DWORD dwSign = 0;
	_asm push eax;
	_asm mov eax, fs:[0x30];
	_asm mov eax, [eax + 0x68];
	_asm mov dwSign, eax;
	_asm pop eax
	return dwSign==0x70;
}

使用 NtQueryInformationProcess 进行反调试

API在ntdll.lib中,要使用的话必须导入库文件。
#pragma comment(lib,"ntdll.lib")
NtQueryInformationProcess
源码实现:

//没注释,要我自己跟,我还没来得及跟。。。先就这样吧。
NTSTATUS NTAPI NtMyQueryInformationProcess(
	IN HANDLE ProcessHandle,
	IN PROCESSINFOCLASS ProcessInformationClass,
	OUT PVOID ProcessInformation,
	IN ULONG ProcessInformationLength,
	OUT PULONG ReturnLength OPTIONAL
)
{
   
   
	_asm {
   
   


		mov         eax, 16h
		xor         ecx, ecx
		lea         edx, [esp + 4]
		call        dword ptr fs : [0C0h]
		add         esp, 4
		ret         14h
		mov         eax, 17h
最低0.47元/天 解锁文章

200万优质内容无限畅学
中断异常
u012138730的专栏
05-10 3393
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
遇见你我该如何逃避你——反调试技术概述
weixin_43742894的博客
04-02 516
本篇文章用来总结大概的反调试技术,并不详细,仅作概述。 反调试技术恶意代码一些软件用来防止代码被动态调试的一项技术。 一、探测Windows调试器 通过调试的痕迹去识别是否正在被调试。 1.WindowsAPI 1.1 IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试...
调试异常
若面朝大海边竹妮春暖花开的博客
02-07 945
一、调试概述 调试相当于我们看医生,医生会看出我们身体上的问题 windows提供DebugActiveProcess函数来附加目标进程调试进程,参数是进程ID,调试成功返回true,失败返回false。 返回false可以使用GetLastError获取错误 由于不知道什么时候会传来调试信息,所以用一个死循环一直等待目标进程发送调试信息给调试器 用循环中WaitForDebugEvent来等待...
2种基于异常机制的反调试方法
lixiangminghate的专栏
08-24 3472
如题,一种是利用异常处理例程进行反调试:首先安装好一个异常处理例程,然后人为抛出异常异常处理例程中通过IsDebuggerPresent来判断程序是否被调试;另一种是利用未处理异常进行反跟踪,其原理是:当异常发生时所有异常处理例程都不能处理异常,系统线程异常处理例程将起作用,它调用 ZwQueryInformationProcess 判断是否被调试,  如果没有调试并且程序中调用SetUnha
windows反调试
最新发布
weixin_65463446的博客
06-06 684
调试标志检测反调试技术
软件调试笔记16 - 用户态调试过程:中断调试
imJaron的博客
11-27 625
几种典型的中断调试器方法: 1. 初始断点 2. 编程时加入断点,比如用DebugBreak API等。 3. 通过调试器设置断点 4. 通过远程线程触发断点异常: 会在被调试进程里创建一个远程线程,这个线程一运行就会执行断点指令。 5. 在线程当前执行位置设置断点:用现有的线程。 首先会将所有的线程挂起,然后取得每个线程的执行上下文,得到线程的程序指针寄存器的值,并在这个值对
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4944
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
网络靶场实战-反调试技术(下)
蛇矛实验室
04-14 1118
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
易语言源码易语言反调试暂停模块源码.rar
03-30
"易语言源码易语言反调试暂停模块源码.rar"这个压缩包文件提供的是易语言的一个特定模块——反调试暂停模块的源代码。下面我们将详细探讨这个模块的相关知识点。 1. **易语言基础**: 易语言的基础语法结构简单...
在 Visual Studio 中设置当发生某个特定异常或所有异常中断
walterlv - 吕毅
09-27 9768
当使用 Visual Studio 调试的时候,如果我们的代码中出现了异常,那么 Visual Studio 会让我们的程序中断,然后我们就能知道程序中出现了异常。但是,如果这个异常已经被 catch 了,那么默认情况下 Visual Studio 是不会帮我们中断的。 能否在这个异常发生的第一时间让 Visual Studio 中断程序以便于我们调试呢?本文将介绍方法。 会中断异常 看下面这...
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 559
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
反调试技术实例
11-10
反调试技术实例
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试
weixin_39908263的博客
11-26 1285
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
根据PEB判断是否被调试
做一个快乐学习者
05-29 623
PEB偏移0x2地方的BeginDebugged标志着当前程序是否被调试 #include <Windows.h> bool CheckDebug() { bool bDebug = false; _asm { push eax //在eax上操作就要先保存好eax的值 mov eax,dword ptr fs:[0x30] //获取PEB mov a...
调试相关的系统级函数
AkeyMaker的博客
11-05 597
PEB相关   #include #include bool PEB_BeingDebugged() { bool BeingDebugged = false; _asm { mov eax, dword ptr
设置异常中断
Acettest's Blogs
06-29 2397
在开发过程中,经常出现以下情况: 为了程序在遇到异常时不终止,使用try…catch进行异常捕获并记录日志。这导致在调试时还需要结合日志进行查看(不是很理解为什么会这样做,程序出现严重错误就应该让其终止,并将错误报告发送到指定服务器以进行bug修复才是正确的决定) 代码会对异常进行吞噬,导致发生异常时不报错,这会使的异常既不会被处理也不会被记录,在程序运行状态不对时,难以发现问题。(此为大坑啊...
反调试
mslieng1011的博客
11-05 324
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试状态 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 反反调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
利用PEB结构体实现反调试
hanseys的专栏
07-21 1405
PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,我们首先看看PEB结构体: typedef struct _PEB {               // Size: 0x1D8     000h    UCHAR           InheritedAddressSpace;     001h    UCHAR
GDB源代码语言切换服务操作——ITIL PDF教程
中断继续是调试过程中的核心操作。GDB提供了断点、监视点捕获点的功能,允许用户在特定位置暂停程序执行。断点可以按需设置、删除、启用或禁用,并且可以附加条件命令列表。中断后,用户可以选择继续执行、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值