加入收藏 | 设为首页 | 会员中心 | 我要投稿 湖南网 (https://www.hunanwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 建站 > 正文

26种对付反调试的方法

发布时间:2019-03-22 03:36:50 所属栏目:建站 来源:luochicun
导读:今朝首要有3种说明软件的要领: 1.数据互换说明,研究职员行使数据包嗅探器材来说明收集数据互换。 2.对软件的二进制代码举办反汇编,然后以汇编说话列出。 3.字节码解码或二进制解码,然后以高级编程说话从头建设源代码。 本文针对的是Windows操纵体系中

该布局中最风趣的是InheritedFromUniqueProcessId字段。在这里,我们必要获取父历程的名称并将其与风行调试器的名称举办较量,以下是这种反调试搜查的列表:

  1. std::wstring GetProcessNameById(DWORD pid) 
  3.     HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); 
  4.     if (hProcessSnap == INVALID_HANDLE_VALUE) 
  5.     { 
  6.         return 0; 
  7.     } 
  8.     PROCESSENTRY32 pe32; 
  9.     pe32.dwSize = sizeof(PROCESSENTRY32); 
  10.     std::wstring processName = L""; 
  11.     if (!Process32First(hProcessSnap, &pe32)) 
  12.     { 
  13.         CloseHandle(hProcessSnap); 
  14.         return processName; 
  15.     } 
  16.     do 
  17.     { 
  18.         if (pe32.th32ProcessID == pid) 
  19.         { 
  20.             processName = pe32.szExeFile; 
  21.             break; 
  22.         } 
  23.     } while (Process32Next(hProcessSnap, &pe32)); 
  24.      
  25.     CloseHandle(hProcessSnap); 
  26.     return processName; 
  28. status = NtQueryInformationProcess( 
  29.     GetCurrentProcess(), 
  30.     ProcessBasicInformation, 
  31.     &processBasicInformation, 
  32.     sizeof(PROCESS_BASIC_INFORMATION), 
  33.     NULL); 
  34. std::wstring parentProcessName = GetProcessNameById((DWORD)processBasicInformation.InheritedFromUniqueProcessId); 
  35. if (L"devenv.exe" == parentProcessName) 
  37.     std::cout << "Stop debugging program!" << std::endl; 
  38.     exit(-1); 

怎样避开NtQueryInformationProcess搜查

避开长短常简朴的, NtQueryInformationProcess函数返回的值应该变动为那些不指示调试器存在的值:

1.将ProcessDebugObjectHandle配置为0

2.将ProcessDebugFlags配置为1

3.对付ProcessBasicInformation,将InheritedFromUniqueProcessId值变动为另一个历程ID,譬喻, Explorer.exe的

断点

断点,调试器的成果之一,可以让措施间断在必要的处所,从而利便其说明。两种范例的断点:

1.软件断点

2.硬件断点

在没有断点的环境下很难举办逆向工程,以是今朝风行的反逆向工程计策都是基于检测断点,然后提供一系列响应的反调试要领。

软件断点

在IA-32架构中,有一个特定的指令 – int 3h,带有0xCC操纵码,用于挪用调试句柄。当CPU执行该指令时,会发生间断并将节制传输到调试器。为了到达节制的目标,调试器必需将int 3h指令注入到代码中。要检测断点,我们可以计较函数的校验和。

  1. DWORD CalcFuncCrc(PUCHAR funcBegin, PUCHAR funcEnd) 
  3.     DWORD crc = 0; 
  4.     for (; funcBegin < funcEnd; ++funcBegin) 
  5.     { 
  6.         crc += *funcBegin; 
  7.     } 
  8.     return crc; 
  10. #pragma auto_inline(off) 
  11. VOID DebuggeeFunction() 
  13.     int calc = 0; 
  14.     calc += 2; 
  15.     calc <<= 8; 
  16.     calc -= 3; 
  18. VOID DebuggeeFunctionEnd() 
  20. }; 
  21. #pragma auto_inline(on) 
  22. DWORD g_origCrc = 0x2bd0; 
  23. int main() 
  25.     DWORD crc = CalcFuncCrc((PUCHAR)DebuggeeFunction, (PUCHAR)DebuggeeFunctionEnd); 
  26.     if (g_origCrc != crc) 
  27.     { 
  28.         std::cout << "Stop debugging program!" << std::endl; 
  29.         exit(-1); 
  30.     } 
  31.     return 0; 

(编辑:湖南网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hunanwang.cn/ All Rights Reserved. 湖南网