反调试与反反调试学习·1(挖坑)

最新推荐文章于 2024-08-14 01:30:56 发布
翻译 最新推荐文章于 2024-08-14 01:30:56 发布 · 1.9k 阅读 · 11

这篇博客探讨了反调试的两种主要类别——静态和动态反调试,并详细阐述了各种反调试技术,包括PEB和TEB检查、API利用、SEH、时间检查以及虚拟机等策略,旨在揭示程序如何防止被调试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

个人理解

  2019.6.19 在汇编面前没有任何程序有秘密(opcode层面做的技巧改动没接触到),调试是打开程序内部乃至程序一切的一把钥匙,反调试就是让钥匙失效的一种手段。反调试根据破坏调试过程的时间不同整体分为静态反调试和动态反调试两大类,静态反调试主要在调试的初期通过检测某些调试标志阻止调试过程继续,找到原因后可以一次解决。动态反调试在调试过程中阻拦调试者,可在调试过程中频繁被触发,需要一直关注。

静态反调试

PEB

BeginDebug:调试标记位
LDR:内存状态
Heap(Flags、Force Flags):堆状态
NtGlobalFlag:内核全局标记

TEB

StaticUnicodeString:静态缓冲区

原始API

NtQueryInformationProcess()
·ProcessDebugPort(0x07):获取调试端口
·ProcessDebugObjectHandle(0x1E):获取调试句柄
·ProcessDebugFlag(0x1F):获取调试标记
NtQuerySystemInformation()
·SystemKernelDebuggerInformation(0x23):获取系统调试状态(双机)
NtQueryObject():遍历系统内核对象

攻击调试器

NtSetInformationThread()
·ThreadHideFormDebugger(0x11) 需导入加载

打开进程检查

SetDebugPrivilege:检查进程是否具有调试权限

TLS回调函数

使用普通API

·父进程检查
·窗口名检查
进程名检查
文件名及文件路径检查
注册表检查

动态反调试

使用SEH

·异常
·断点
·SetUnhandleedExceptionFilter()

时间检查

RDTSC:读取时间戳计数器的内容

单步检查

补丁检查

·0xCC扫描:根据规则扫描程序内的0xCC,如发现有则可能被下了软件断点
·Hash扫描:扫描关键代码段的Hash值,如不对则证明在运行是被修改/调试
·API断点扫描:扫描API第一字节是否为0xCC,如是则被调试了

反反汇编

·指令截断:将一条指令截断,进而导致反汇编引擎后续指令解析错误
·指令混淆:将敏感指令块拆分成多块或若干条不相干指令迷惑调试者
·指令膨胀:将一条指令膨胀为数十条指令,但其行为与这一条指令一致
·代码乱序:将原有代码执行顺序在内存级别中打乱,用跳转指令链接,如JMP等,干扰调试

偷取代码

·偷取OEP代码:将OEP代码移动到其他地方加密执行
·偷取API代码:将API部分的部分代码移动到其他地方。

分页保护

·运行时保护分页:修改代码及数据段保护属性干扰分析

·压缩壳:配合OEP加密
·加密壳:添加各种反调试手段干扰分析

虚拟机

·API虚拟机:将部分常用API放到虚拟机中模拟执行
·指令集虚拟机:将任一段指令放到虚拟机中保护起来

关于反调试反反调试那些事
weixin_34176694的博客
05-22 803
前言 在逆向和保护的过程中,总会涉及到反调试反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段以及反反调试的方法。 反调试 ptrace的 为了方便应用软件的开发和调试,从Unix的的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace()。 通过ptrace可以对另一个进程实现调试跟踪,同时ptrace还提供了一个非常有用的参数那就是PT_DENY_A...
反调试反反调试
zhuhuibeishadiao
03-31 5733
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
反调试技巧总结-原理和实现
瞎几把学
01-18 3651
 标 题: 【原创】反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40链 接: http://bbs.pediy.com/showthread.php?t=70470反调试技巧总结-原理和实现-------------------------------------------------------
C++ 反反调试(TLS回调函数)
LYSM
09-05 1497
关于 TSL 反调试的内容,参考这篇文章 说完反调试,如果不说反反调试就 毫无意义 ! 下面讲下针对 TLS 回调函数的反反调试方法。 引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表: 进入这个表中查看,发现它的大小为 24 个字节: 关于 TLS 的结构体,有 32 位和 64 位两个版本: 其中 _IMAGE_TLS_DIRECTORY64 大小为:84+42=40,...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
python反反爬_Python反反爬之JS混淆---动态Cookie(持续更新详细教程)
weixin_34867001的博客
12-30 346
写在前面经过上一题的练习JS混淆---源码乱码,我们已经对JS混淆有了大致的了解,这次我们再来练习一道同类型的题目,只不过这次是动态Cookie首先,让我们了解一下什么是CookieCookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些...
二进制学习-反跟踪技术
qq_39153247的博客
02-06 626
0x00.BeingDebugged1.    PEB(Process Environment Block,进程环境块): (1).   有种保护技术会检测是否有调试器正在调试保护软件,然后需要获取是否被调试的消息,这个消息存储在PEB结构中,PEB结构:typedef struct _PEB { BYTE Reserved1[2]; BY...
ARM Cortex-M底层技术(十四)KEIL MDK 调试技术-1 【调试技术简介】
weixin_39118482的博客
10-03 3082
ARM Cortex-M底层技术(十四)KEIL MDK 调试技术-1 【调试技术简介】     最近懒癌上身,N久都没有写东西了,我对不起祖国,对不起党,刚好赶在十一,祖国都69(注意是岁数不是姿势……)了,我实在不好意思再偷懒了,行了,不瞎BB了,进入正题,承接之前~,其实关于分散加载还有一些东西木有说清楚,煮药是分散加载的点太碎,也木有在事先构建好一个体系,所以呢可能说的有点乱,以后我再想...
浅谈ThinkPH5.0和5.1的反序列化利用链分析
kali_Ma的博客
01-04 1304
前言 本文将总结分析ThinkPHP5.0和5.1中的反序列化利用链,一方面以备不时之需,另一方面算是对php反序列化的深入学习。 其中TP5.0的利用链会复杂很多,所以本文会先介绍TP5.1的利用链。本文主要分析的代码是ThinkPHP5.0.24和ThinkPHP5.1.41,分别是ThinkPHP5.0和5.1的最终版本 代码分析 该条pop链入口在think\process\pipes\Windows类中,利用__destruct()触发 在file_exists($filename)时,可触发__
Python反反爬之JS混淆---动态Cookie(持续更新详细教程)
Java_S12138的博客
12-28 3479
写在前面 第一题JS混淆—源码乱码 经过上一题的练习JS混淆—源码乱码,我们已经对JS混淆有了大致的了解,这次我们再来练习一道同类型的题目,只不过这次是动态Cookie 首先,让我们了解一下什么是Cookie Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可
各种反调试技术原理实例 VC版[学习CK].
11-10
反调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
反反调试OD
06-21
反反调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
反调试技术源码实例汇编版
10-05
汇总归纳了各种反调试技术,提供各种反调试实例及源代码。 http://www.ucooper.com/anti-debug-methods-asm.html 反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
反调试技术
bj5716的博客
04-21 1057
前言反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
聊一聊对一个 C# 商业程序的反反调试
一线码农的专栏
11-02 613
这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。
反调试
mslieng1011的博客
11-05 324
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试状态 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 反反调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
调试、反调试反反调试
最新发布
m0_57836225的博客
08-14 421
调试是软件开发过程中的一个重要环节,旨在发现和解决软件中的错误、优化性能、理解程序的行为和逻辑。调试工具可以让开发者跟踪程序的执行流程、查看变量的值、设置断点等。反调试是软件开发者为了防止其程序被非法调试、分析和破解而采取的一系列技术手段。需要注意的是,在未经授权的情况下对软件进行反调试反反调试可能涉及违法和违反软件使用协议。反反调试则是试图绕过或对抗软件中的反调试机制,以便能够对程序进行调试和分析。2. 代码补丁:修改程序的二进制代码以绕过反调试检查。3. 反反调试工具:专门用于应对常见反调试技术。
TLS反调试 反反调试
ADADQDQQ的博客
07-19 519
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值