加入收藏 | 设为首页 | 会员中心 | 我要投稿 佛山站长网 (https://www.0757zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

26种对付反调试的方法

发布时间:2019-03-22 23:21:48 所属栏目:策划 来源:luochicun
导读:副标题#e# 目前主要有3种分析软件的方法: 1.数据交换分析,研究人员使用数据包嗅探工具来分析网络数据交换。 2.对软件的二进制代码进行反汇编,然后以汇编语言列出。 3.字节码解码或二进制解码,然后以高级编程语言重新创建源代码。 本文针对的是Windows操

在这里,我们设置了一个VEH处理程序并产生中断(不需要int 1h)。在中断生成时,出现异常,控制被传送到VEH处理程序。如果设置了硬件断点,程序执行停止。如果没有硬件断点,则EIP寄存器值会增加2,以在int 1h处生成指令后继续执行。

如何避开硬件断点检查和VEH

我们来看看导致VEH处理程序的调用堆栈:

  1. 0:000> kn 
  2.  # ChildEBP RetAddr   
  3. 00 001cf21c 774d6822 AntiDebug!ExceptionHandler  
  4. 01 001cf26c 7753d151 ntdll!RtlpCallVectoredHandlers+0xba02 001cf304 775107ff ntdll!RtlDispatchException+0x7203 001cf304 00bf4a69 ntdll!KiUserExceptionDispatcher+0xf04 001cfc1c 00c2680e AntiDebug!main+0x59  
  5. 05 001cfc30 00c2665a AntiDebug!invoke_main+0x1e  
  6. 06 001cfc88 00c264ed AntiDebug!__scrt_common_main_seh+0x15a  
  7. 07 001cfc90 00c26828 AntiDebug!__scrt_common_main+0xd  
  8. 08 001cfc98 753e7c04 AntiDebug!mainCRTStartup+0x8  
  9. 09 001cfcac 7752ad1f KERNEL32!BaseThreadInitThunk+0x24 
  10. 0a 001cfcf4 7752acea ntdll!__RtlUserThreadStart+0x2f 
  11. 0b 001cfd04 00000000 ntdll!_RtlUserThreadStart+0x1b 

我们可以看到,控制从主+ 0x59转移到ntdll!KiUserExceptionDispatcher。让我们看看主+ 0x59中的什么指令导致了这个调用:

  1. 0:000> u main+59 L1 
  2. AntiDebug!main+0x59 
  3. 00bf4a69 cd02            int     1       

这是产生中断的指令, KiUserExceptionDispatcher函数是系统从内核模式调用到用户模式的回调方法之一。以下是它的签名:

  1. VOID NTAPI KiUserExceptionDispatcher( 
  2.     PEXCEPTION_RECORD pExcptRec,  
  3.     PCONTEXT ContextFrame 
  4. ); 

下面就是避开了应用KiUserExceptionDispatcher函数钩子的硬件断点检查的代码:

  1. typedef  VOID (NTAPI *pfnKiUserExceptionDispatcher)( 
  2.     PEXCEPTION_RECORD pExcptRec, 
  3.     PCONTEXT ContextFrame 
  4.     ); 
  5. pfnKiUserExceptionDispatcher g_origKiUserExceptionDispatcher = NULL; 
  6. VOID NTAPI HandleKiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec, PCONTEXT ContextFrame) 
  8.     if (ContextFrame && (CONTEXT_DEBUG_REGISTERS & ContextFrame->ContextFlags)) 
  9.     { 
  10.         ContextFrame->Dr0 = 0; 
  11.         ContextFrame->Dr1 = 0; 
  12.         ContextFrame->Dr2 = 0; 
  13.         ContextFrame->Dr3 = 0; 
  14.         ContextFrame->Dr6 = 0; 
  15.         ContextFrame->Dr7 = 0; 
  16.         ContextFrame->ContextFlags &= ~CONTEXT_DEBUG_REGISTERS; 
  17.     } 
  19. __declspec(naked) VOID NTAPI HookKiUserExceptionDispatcher()  
  20. // Params: PEXCEPTION_RECORD pExcptRec, PCONTEXT ContextFrame 
  22.     __asm 
  23.     { 
  24.         mov eax, [esp + 4] 
  25.         mov ecx, [esp] 
  26.         push eax 
  27.         push ecx 
  28.         call HandleKiUserExceptionDispatcher 
  29.         jmp g_origKiUserExceptionDispatcher 
  30.     } 
  32. int main() 
  34.     HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll")); 
  35.     g_origKiUserExceptionDispatcher = (pfnKiUserExceptionDispatcher)GetProcAddress(hNtDll, "KiUserExceptionDispatcher"); 
  36.     Mhook_SetHook((PVOID*)&g_origKiUserExceptionDispatcher, HookKiUserExceptionDispatcher); 
  37.     return 0; 

在这个例子中,DRx寄存器的值在HookKiUserExceptionDispatcher函数中被复位,即在VEH处理程序调用之前。

NtSetInformationThread —从调试器隐藏线程

(编辑:佛山站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0757zz.com/ All Rights Reserved. 佛山站长网