180307 逆向-反调试技术(2)CheckRemoteDebuggerPresent

最新推荐文章于 2024-04-14 12:39:17 发布
原创 最新推荐文章于 2024-04-14 12:39:17 发布 · 1.7k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了Windows系统的两种反调试技术:CheckRemoteDebuggerPresent和ThreadHideFromDebugger。CheckRemoteDebuggerPresent通过NtQueryInformationProcess检测调试器,而ThreadHideFromDebugger利用ZwSetInformationThread来隐藏线程,防止调试事件的发生。

1625-5 王子昂 总结《2018年3月7日》 【连续第522天总结】
A. 反调试技术(2)
B.

CheckRemoteDebuggerPresent

BOOL CheckRemoteDebuggerPresent(
HANDL hProcess, 
PBOOL pbDebuggerPresent
);

这是另外一个MSDN上提供的检测调试器的函数,测试发现及时修改BeingDebugged标志也会被检测到

这个函数的核心代码只有一句话,就是对NtQueryInformationProcess的调用。
NtQueryInformationProcess不是Win32API,而是NativeAPI。
大多NativeAPI都是未文档化的,因此没有源码和使用说明。不过GaryNebbett写了一本参考手册《Windows NT 2000 Native API Reference》

手册中写着CheckRemoteDebuggerPresent调用了NtQueryInformationProcess的第7个值ProcessDebugPort
这个值是系统用来与调试器通信的端口句柄,若将其设为0,系统就不会向用户态调试器发送调试事件通知,调试器当然就无法工作了

到了这一步,自然想到通过NtSetInformationProcess函数将DebugPort设为0。不过可惜的是说明中写明了“调试端口仅能在初始状态(即为0)时设置”,因此无法在调试器启动进程后修改Port

ThreadHideFromDebugger

虽然NtSetInformationProcess这条路走不通,但是显然NativeAPI中存在着一些接近内核态的东西
ZwSetInformationThread这个API可以设置一个线程相关的信息,而ThreadInformationClass的最后一项就是ThreadHideFromDebugger
当该值被设置为True时,会禁止进程产生调试事件。

原理是
如果当前进程成功映射了一个映像,并跟一个调试端口关联起来,就会通知调试器发生了LOAD_DLL_DEBUG_EVENT事件。但是如果线程的HideFromDebugger为TRUE,那么在通知之前就会返回,使得调试器对进程一无所知

C. 明日计划
反调试技术(3)

使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
反调试——CheckRemoteDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-21 1323
原理:查询进程环境块(PEB)中的IsDebugged标志。 如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 它不仅可以探测系统其他进程是否被调试,通过传递自身进程句柄还可以探测自身是否被调试。 检测函数样例: BOOL CheckDebug() { BOOL ret; CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret); return ret; }
Windows反调试技术学习
Sciurdae的博客
01-01 2112
元旦快乐!!!只是粗浅的两天的一点笔记和实践记录。加解密一书每一章应该都要来回啃上几遍才能理解,书中好多还是不懂的,只能先学能理解的,后面再继续深入了。下一个该学异常处理了,学完就把这一次笔记的关于异常的反调试补上。ε=(´ο`*))),元旦快乐!
网络靶场实战-反调试技术(上)
蛇矛实验室
04-14 1468
反调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解反调试技术,当遇到反调试代码时,可以使用相对应的反反调试
反调试 - CheckRemoteDebuggerPresent
LYSM
07-04 720
和 IsDebuggerPresent 差不多简单的反调试技术 ???? BOOL bIsDbgPresent = FALSE; if(CheckRemoteDebuggerPresent(GetCurrentProcess(), &bIsDbgPresent) != 0){ if(bIsDbgPresent == TRUE){ cout << "发现调试器" << endl; } else{ cout << "没有调试器" << end
CheckRemoteDebuggerPresent反调试
sanqiuai的博客
08-26 1034
# include<Windows.h> # include<stdio.h> BOOL CheckDebug() { BOOL isDebugged; CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebugged); return isDebugged; } int main() { while (1) { if (CheckDebug()) { MessageBox(0, L"软件正在被调
反调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 470
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
反调试技术
qq_67181251的博客
10-29 497
BeingDebugged属性位于PEB结构的第二个字节位置处。
NtSetInformationProcess设置硬盘ProcessIoPriority
weixin_30698527的博客
07-31 854
机械硬盘是目前大多机器的瓶颈。固态硬盘价格依然较贵,而且寿命太短,不适合长期高负荷写入。机械硬盘的问题在于,默认是按照最大速度写入,当连续写入错误达到一定值时,会造成降速,磁盘模式由UDMA6降低为UDMA2或PIO,windows操作系统不能有效的识别何时应该降速运转,以避免错误达到减速模式阈值,在变成降速模式后又很难恢复成UDMA6。另一问题是,当机械硬盘按默认最大速度写入时,会造成...
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 5115
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
SteamLoader-绕过Steam ThreadHideFromDebugger-C/C++开发
05-27
一个简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法。 SteamLoader-绕过Steam ThreadHideFromDebugger一种简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法,该技术不允许在遇到断点时将执行流转移到调试器。 这种技术存在于(旧的?)Steam游戏中,例如Orcs Must Die 2,FEAR 3,DeusEx,Brinck,Fall out系列,Duke Nukem。 一旦达到断点,游戏就会退出。 我在Guided Hacking论坛上对此做了完整的解释。 Visual Studio解决方案包含两个
易语言 反调试 模块
08-11
易语言 反调试 模块,用户层强力反调试
种类齐全的调试与反调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 2208
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
应用层蓝屏
125096
10-24 2388
#include #include typedef enum _HARDERROR_RESPONSE_OPTION { OptionAbortRetryIgnore, OptionOk, OptionOkCancel, OptionRetryCancel, OptionYesNo, OptionYesNoCancel, OptionShutdownSystem } HARD
Ret2Libc学习NtSetInformationProcess DEP
weixin_30292745的博客
09-15 369
DEP简要说明 链接········································· DEP设置标示在KPROCESS 结构中 XP 下 nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x...
网络靶场实战-反调试技术(下)
蛇矛实验室
04-14 1476
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3451
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值