加入收藏 | 设为首页 | 会员中心 | 我要投稿 湖南网 (https://www.hunanwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 建站 > 正文

26种对付反调试的方法

发布时间:2019-03-22 03:36:50 所属栏目:建站 来源:luochicun
导读:今朝首要有3种说明软件的要领: 1.数据互换说明,研究职员行使数据包嗅探器材来说明收集数据互换。 2.对软件的二进制代码举办反汇编,然后以汇编说话列出。 3.字节码解码或二进制解码,然后以高级编程说话从头建设源代码。 本文针对的是Windows操纵体系中

上面的示例表现了对SEH处理赏罚措施的配置,指向SEH Frame的指针放在处理赏罚措施链的开头,然后发生int 3h间断。假如应用措施未被调试,则节制将被传送到SEH处理赏罚措施,g_isDebuggerPresent值将被配置为FALSE。 ContextRecord-> Eip + = 1行变动执行流程中下一条指令的地点,这将导致执行int 3h后的指令。然儿女码返回原始SEH处理赏罚措施,破除仓库,并搜查调试器是否存在。

怎样避开SEH搜查

固然不存在一个广泛的要领,但照旧有一些技能,可以或许实现这一点。我们来看看操作挪用仓库怎样导致SEH处理赏罚措施挪用:

  1. 0:000> kn 
  2.  # ChildEBP RetAddr   
  3. 00 0059f06c 775100b1 AntiDebug!ExceptionRoutine  
  4. 01 0059f090 77510083 ntdll!ExecuteHandler2+0x26 
  5. 02 0059f158 775107ff ntdll!ExecuteHandler+0x24 
  6. 03 0059f158 003b11a5 ntdll!KiUserExceptionDispatcher+0xf 
  7. 04 0059fa90 003d7f4e AntiDebug!main+0xb5 
  8. 05 0059faa4 003d7d9a AntiDebug!invoke_main+0x1e 
  9. 06 0059fafc 003d7c2d AntiDebug!__scrt_common_main_seh+0x15a  
  10. 07 0059fb04 003d7f68 AntiDebug!__scrt_common_main+0xd  
  11. 08 0059fb0c 753e7c04 AntiDebug!mainCRTStartup+0x8 
  12. 09 0059fb20 7752ad1f KERNEL32!BaseThreadInitThunk+0x24 
  13. 0a 0059fb68 7752acea ntdll!__RtlUserThreadStart+0x2f 
  14. 0b 0059fb78 00000000 ntdll!_RtlUserThreadStart+0x1b 

接着我们就要说明每个被称为SEH处理赏罚措施的代码,假如掩护是基于SEH处理赏罚措施的多次呼唤,则很难就行反调试了。

VEH(向量化非常处理赏罚)

VEH是从Windows XP开始引入的,固然它是SEH的一个变体,但两者互相独立运行, VEH优先权高于SHE,只有VEH不处理赏罚某个非常的时辰,非常处理赏罚权才会达到SEH.。当添加新的VEH处理赏罚措施时,SEH链不受影响,由于VEH处理赏罚措施的列表存储在ntdll!LdrpVectorHandlerList非导出的变量中。 VEH和SEH机制很是相似,独一的区别是记录成果被用于配置和删除VEN处理赏罚措施。添加和删除VEH处理赏罚措施以及VEH处理赏罚函数的原函数署名如下:

  1. PVOID WINAPI AddVectoredExceptionHandler( 
  2.     ULONG                       FirstHandler, 
  3.     PVECTORED_EXCEPTION_HANDLER VectoredHandler 
  4. ); 
  5. ULONG WINAPI RemoveVectoredExceptionHandler( 
  6.     PVOID Handler 
  7. ); 
  8. LONG CALLBACK VectoredHandler( 
  9.     PEXCEPTION_POINTERS ExceptionInfo 
  10. ); 
  11. The _EXCEPTION_POINTERS structure looks like this:   
  12. typedef struct _EXCEPTION_POINTERS { 
  13.   PEXCEPTION_RECORD ExceptionRecord; 
  14.   PCONTEXT          ContextRecord; 
  15. } EXCEPTION_POINTERS, *PEXCEPTION_POINTERS; 

在处理赏罚措施中收到节制权后,体系会网络当前历程的上下文并通过ContextRecord参数举办转达。以下就是一个行使向量非常处理赏罚的反调试掩护代码:

  1. LONG CALLBACK ExceptionHandler(PEXCEPTION_POINTERS ExceptionInfo) 
  3.     PCONTEXT ctx = ExceptionInfo->ContextRecord; 
  4.     if (ctx->Dr0 != 0 || ctx->Dr1 != 0 || ctx->Dr2 != 0 || ctx->Dr3 != 0) 
  5.     { 
  6.         std::cout << "Stop debugging program!" << std::endl; 
  7.         exit(-1); 
  8.     } 
  9.     ctx->Eip += 2; 
  10.     return EXCEPTION_CONTINUE_EXECUTION; 
  12. int main() 
  14.     AddVectoredExceptionHandler(0, ExceptionHandler); 
  15.     __asm int 1h; 
  16.     return 0; 

(编辑:湖南网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hunanwang.cn/ All Rights Reserved. 湖南网