180310 逆向-反调试技术(3)DebugObject

最新推荐文章于 2024-09-05 08:00:10 发布
最新推荐文章于 2024-09-05 08:00:10 发布
阅读量788 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whklhhhh/article/details/79665928
本文深入探讨了反调试技术,特别是从调试器的角度出发,通过分析DebugObject的创建和使用方式来检测调试器的存在。介绍了如何利用DbgUiGetThreadDebugObject函数及ZwQueryObject系统调用来判断是否有调试器正在运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1625-5 王子昂 总结《2018年3月10日》 【连续第525天总结】
A. 反调试技术(3)
B.

DebugObject

之前都是从被调试进程入手找痕迹,除此以外调用了DebugAPI的调试器必然要向系统进行声明注册,因此从调试器一边寻找痕迹也是可行的

调试器与被调试程序建立关系有两种途径

  • 在创建进程时设置DEBUG_PROCESS
  • 调用DebugActiveProcess附加到某个一运行的进程上

当调试器开启的时候会创建一个DebugObject,并且储存在了NtCurrentTeb()->DbgSs Reserved[1]处

普通的进程中DbgSsReserved[1]应该为NULL,因此此处如果有值那么就说明该进程是一个用户态的调试器进程

Ntdll中有导出函数可以操作这个域:DbgUiGetThreadDebugObject(VOID)
因此可以通过这个方法来判断一个进程是不是调试器,进而反调

然而这个函数只能判断某一个进程,有些累赘
再向上追踪可以发现DebugObject是由ZwCreateDebugObject调用了ObCreateObject来创建的,因此可以用ZwQueryObject查询所有对象的类型,若发现DebugObject的数目不为0,就说明系统中此时运行着调试器

诚然有调试器并不意味着对方就是在破解自己的软件,不过普通用户一般是不会开着调试器的,所以从这个角度想,错杀还是可以接受的

C. 明日计划
反调试技术(4)

逆WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3395
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
反调试技术(一)--静态反调试
对着世界说你好
03-13 2340
静态反调试技术以及反调试破解技术
反调试技巧总结-原理和实现
weixin_30535843的博客
06-07 516
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
linux CONFIG_DEBUG_OBJECTS 用法
u014089131的博客
05-16 2907
该选项用来开启debugobjects模块,对应内核代码中的debugobjects.c, 这个模块是个通用的调试框架,用来跟踪object的生命周期。 kernel中已有的应用该功能的object有timer,workqueue等, 当然自己也可以定义自己的模块使用这个调试功能。 一个object有下面几种状态: enum debug_obj_state { ODEBUG_S
各种反调试技术原理与实例VC版.doc
最新发布
11-03
反调试技术是一种防止或阻碍软件逆向工程和调试的方法,它被广泛用于保护软件不被非法修改和破解。反调试技术通常通过各种手段识别和干扰调试器的正常工作,使得逆向工程人员难以分析和理解程序的运行机制。在VC...
内核Anit-Anit-Debug插件:深入内核反反调试技术
-反调试技术的目的是为了允许安全研究员、开发人员等合法用户在调试程序时绕过这些检测,以便进行逆向工程和漏洞分析。 2. **内核对象和调试对象(Kernel Object and Debug Object)** - 在Windows操作系统中...
反调试技术详解与实战
"这篇文档是唐久涛关于反调试技术的总结,主要涵盖了多种检查和规避调试器的技术,包括但不限于检查窗口类名和窗口名、检测调试器进程、父进程检查、时间敏感程序段、StartupInfo结构分析、BeingDebugged标志、PEB和...
汇编版反调试技术实例解析与源码分享
在计算机安全领域中,反调试技术是一种用于防止软件被逆向工程和调试的技术逆向工程指的是分析一个程序的二进制代码以理解其工作原理,调试则是通过逐步运行程序来测试其功能。开发者使用反调试技术可以增加恶意...
各种反调试技术原理与实例
04-18
本人学习的总结,汇总归纳了各种反调试技术并提供了本人创作的各种反调试实例及源代码。 http://hi.baidu.com/tjt999 http://bbs.pediy.com/showthread.php?t=106143 反调试技术 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 11 9. SetUnhandledExceptionFilter/ Debugger Interrupts 13 10. Trap Flag单步标志异常 15 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17. block input封锁键盘、鼠标输入 23 18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
开源项目 `debug-objects` 使用教程
gitblog_00057的博客
09-05 390
开源项目 debug-objects 使用教程 1. 项目的目录结构及介绍 debug-objects/ ├── README.md ├── composer.json ├── src/ │ ├── Debug.php │ ├── Logger.php │ └── Utils.php ├── tests/ │ ├── DebugTest.php │ └── LoggerTest...
Windows软件调试学习笔记(一)—— 调试对象
lzyddf的博客
07-01 1334
软件调试学习笔记(一)—— 调试对象
6.ring0-更改dbgport地址偏移过掉dbgport清0
hgy413的专栏
07-26 2524
正方案: 把 EPROCESS->DebugPort = NULL清零,这样调试器就无法接受到消息了,也就无法调试了 反方案: 以下的操作都可以写成一个script来操作. debugport和哪些函数相关 1.首先打开一个calc.exe: kd> !process 0 0 calc.exe PROCESS 861a9020 SessionId: 0 Cid: 068c
NTCreateDEbugOBject for win8..1
落笔飞花笑百生的博客
04-27 1450
这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了 这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑 NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle
Windows内核分析——内核调试机制的实现(NtCreateDebugObject、DbgkpPostFakeProcessCreateMessages、DbgkpPostFakeThreadMes...
weixin_30622181的博客
03-31 558
本文主要分析内核中与调试相关的几个内核函数。 首先是NtCreateDebugObject函数,用于创建一个内核调试对象,分析程序可知,其实只是一层对ObCreateObject的封装,并初始化一些结构成员而已。 我后面会写一些与window对象管理方面的笔记,会分析到对象的创建过程。 来自WRK1.2 NTSTATUS NtCreateDebugObject ( OUT P...
内核反调试
liuhaidon1992的博客
01-08 1496
1.钩子 对调试器附加过程中所用到的函数挂钩。 比如:NtOpenProcess、ZwDebugActiveProcess、RtlCreateUserThread、NtDebugContinue、 NtCreateDebugObject、NtWaitForDebugEvent 调试事件采集函数:DbgkCreateThread、DbgkExitThread、DbgkExitProcess...
190328 逆向-浅谈反调试
whklhhhh的博客
03-29 3万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值