一、 前言
前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要反下就知道了。我想代码其实意义不是很大,重要的是理解和运用。
做个简单的总结,说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。
部分代码和参考资料来源:
1、<<脱壳的艺术>> hawking
2、<<windows anti-debugger reference>> Angeljyt
3、http://bbs.pediy.com
4、<<软件加密技术内幕>> 看雪学院
5、<<ANTI-UNPACKER TRICKS>> Peter Ferrie
我将反调试技巧按行为分为两大类,一类为检测,另一类为攻击,每类中按操作对象又分了五个小类:
1、 通用调试器 包括所有调试器的通用检测方法
2、 特定调试器 包括OD、IDA等调试器,也包括相关插件,也包括虚拟环境
3、 断点 包括内存断点、普通断点、硬件断点检测
4、 单步和跟踪 主要针对单步跟踪调试
5、 补丁 包括文件补丁和内存补丁
反调试函数前缀
检测 攻击
通用调试器 FD_ AD_
特定调试器 FS_ AS_
断点 FB_ AB_
单步和跟踪 FT_ AT_
补丁 FP_ AP_
声明:
1、本文多数都是摘录和翻译,我只是重新组合并翻译,不会有人告侵权吧。里面多是按自己的理解来说明,可能有理解错误,或有更好的实现方法,希望大家帮忙指出错误。
2、我并没有总结完全,上面的部分分类目前还只有很少的函数甚至空白,等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识,丰富的想像力,灵活的运用,就会创造出更多的属于自己的反调试。而最强的反调试,通常都是自己创造的,而不是来自别人的代码。
二、 查找-通用调试器(FD_)
函数列表如下,后面会依次说明,需事先说明的是,这些反调试手段多数已家喻户晓,目前有效的不多,多数已可以通过OD的插件顺利通过,如果你想验证它们的有效性,请关闭OD的所有反反调试插件:
前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要反下就知道了。我想代码其实意义不是很大,重要的是理解和运用。
做个简单的总结,说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。
部分代码和参考资料来源:
1、<<脱壳的艺术>> hawking
2、<<windows anti-debugger reference>> Angeljyt
3、http://bbs.pediy.com
4、<<软件加密技术内幕>> 看雪学院
5、<<ANTI-UNPACKER TRICKS>> Peter Ferrie
我将反调试技巧按行为分为两大类,一类为检测,另一类为攻击,每类中按操作对象又分了五个小类:
1、 通用调试器 包括所有调试器的通用检测方法
2、 特定调试器 包括OD、IDA等调试器,也包括相关插件,也包括虚拟环境
3、 断点 包括内存断点、普通断点、硬件断点检测
4、 单步和跟踪 主要针对单步跟踪调试
5、 补丁 包括文件补丁和内存补丁
反调试函数前缀
检测 攻击
通用调试器 FD_ AD_
特定调试器 FS_ AS_
断点 FB_ AB_
单步和跟踪 FT_ AT_
补丁 FP_ AP_
声明:
1、本文多数都是摘录和翻译,我只是重新组合并翻译,不会有人告侵权吧。里面多是按自己的理解来说明,可能有理解错误,或有更好的实现方法,希望大家帮忙指出错误。
2、我并没有总结完全,上面的部分分类目前还只有很少的函数甚至空白,等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识,丰富的想像力,灵活的运用,就会创造出更多的属于自己的反调试。而最强的反调试,通常都是自己创造的,而不是来自别人的代码。
二、 查找-通用调试器(FD_)
函数列表如下,后面会依次说明,需事先说明的是,这些反调试手段多数已家喻户晓,目前有效的不多,多数已可以通过OD的插件顺利通过,如果你想验证它们的有效性,请关闭OD的所有反反调试插件:
bool
FD_IsDebuggerPresent();
bool FD_PEB_BeingDebuggedFlag();
bool FD_PEB_NtGlobalFlags();
bool FD_Heap_HeapFlags();
bool FD_Heap_ForceFlags();
bool FD_Heap_Tail();
bool FD_CheckRemoteDebuggerPresent();
bool FD_NtQueryInfoProc_DbgPort();
bool FD_NtQueryInfoProc_DbgObjHandle();
bool FD_NtQueryInfoProc_DbgFlags();
bool FD_NtQueryInfoProc_SysKrlDbgInfo();
bool FD_SeDebugPrivilege();
bool FD_Parent_Process();
bool FD_DebugObject_NtQueryObject();
bool FD_Find_Debugger_Window();
bool FD_Find_Debugger_Process();
bool FD_Find_Device_Driver();
bool FD_Exception_Closehandle();
bool FD_Exception_Int3();
bool FD_Exception_Popf();
bool FD_OutputDebugString();
bool FD_TEB_check_in_Vista();
bool FD_check_StartupInfo();
bool FD_Parent_Process1();
bool FD_Exception_Instruction_count();
bool FD_INT_2d();
bool FD_PEB_BeingDebuggedFlag();
bool FD_PEB_NtGlobalFlags();
bool FD_Heap_HeapFlags();
bool FD_Heap_ForceFlags();
bool FD_Heap_Tail();
bool FD_CheckRemoteDebuggerPresent();
bool FD_NtQueryInfoProc_DbgPort();
bool FD_NtQueryInfoProc_DbgObjHandle();
bool FD_NtQueryInfoProc_DbgFlags();
bool FD_NtQueryInfoProc_SysKrlDbgInfo();
bool FD_SeDebugPrivilege();
bool FD_Parent_Process();
bool FD_DebugObject_NtQueryObject();
bool FD_Find_Debugger_Window();
bool FD_Find_Debugger_Process();
bool FD_Find_Device_Driver();
bool FD_Exception_Closehandle();
bool FD_Exception_Int3();
bool FD_Exception_Popf();
bool FD_OutputDebugString();
bool FD_TEB_check_in_Vista();
bool FD_check_StartupInfo();
bool FD_Parent_Process1();
bool FD_Exception_Instruction_count();
bool FD_INT_2d();
2.1 FD_IsDebuggerPresent()
对调试器来说,IsDebuggerPresent是臭名昭著的恶意函数。不多说了,它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。
对调试器来说,IsDebuggerPresent是臭名昭著的恶意函数。不多说了,它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。
//
check softbreak
if ( * (BYTE * )Func_addr == 0xcc )
return true ;
// check hook
if ( * (BYTE * )Func_addr != 0x64 )
return true ;
if ( * (BYTE * )Func_addr == 0xcc )
return true ;
// check hook
if ( * (BYTE * )Func_addr != 0x64 )
return true ;
2.2 FD_PEB_BeingDebuggedFlag
我们知道,如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。
我们知道,如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。
__asm
{
mov eax, fs: [30h] ; EAX = TEB.ProcessEnvironmentBlock
inc eax
inc eax
mov eax, [eax]
and eax,0x000000ff ; AL = PEB.BeingDebugged
test eax, eax
jne rt_label
jmp rf_label
}
{
mov eax, fs: [30h] ; EAX = TEB.ProcessEnvironmentBlock
inc eax
inc eax
mov eax, [eax]
and eax,0x000000ff ; AL = PEB.BeingDebugged
test eax, eax
jne rt_label
jmp rf_label
}
2.3 FD_PEB_NtGlobalFlags
PEB中还有其它FLAG表明了调试器的存在,如NtGlobalFlags。它位于PEB环境中偏移为0x68的位置,默认情况下该值为0,在win2k和其后的windows平台下,如果在调试中,它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠(如在winnt中),但这种方法却也很常用。这个标志由下面几个标志组成:
***_HEAP_ENABLE_TAIL_CHECK (0x10)
***_HEAP_ENABLE_FREE_CHECK (0x20)
***_HEAP_VALIDATE_PARAMETERS (0x40)
检测NtGlobalFlags的方法如下,这个方法在ExeCryptor中使用过。
PEB中还有其它FLAG表明了调试器的存在,如NtGlobalFlags。它位于PEB环境中偏移为0x68的位置,默认情况下该值为0,在win2k和其后的windows平台下,如果在调试中,它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠(如在winnt中),但这种方法却也很常用。这个标志由下面几个标志组成:
***_HEAP_ENABLE_TAIL_CHECK (0x10)
***_HEAP_ENABLE_FREE_CHECK (0x20)
***_HEAP_VALIDATE_PARAMETERS (0x40)
检测NtGlobalFlags的方法如下,这个方法在ExeCryptor中使用过。
__asm
{
mov eax, fs: [30h]
mov eax, [eax+68h]
and eax, 0x70
test eax, eax
jne rt_label
jmp rf_label
}
{
mov eax, fs: [30h]
mov eax, [eax+68h]
and eax, 0x70
test eax, eax
jne rt_label
jmp rf_label
}
2.4 FD_Heap_HeapFlags()
同样,调试器也会在堆中留下痕迹,你可以使用kernel32_GetProcessHeap()函数,如果你不希望使用api函数(以免暴露),则可以直接在PEB中寻找。同样的,使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠,但却很常用。
这个域由一组标志组成,正常情况下,该值应为2。
同样,调试器也会在堆中留下痕迹,你可以使用kernel32_GetProcessHeap()函数,如果你不希望使用api函数(以免暴露),则可以直接在PEB中寻找。同样的,使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠,但却很常用。
这个域由一组标志组成,正常情况下,该值应为2。
__asm
{
mov eax, fs: [30h]
mov eax, [eax+18h] ; PEB.ProcessHeap
mov eax, [eax+0ch] ; PEB.ProcessHeap.Flags
cmp eax, 2
jne rt_label
jmp rf_label
}
{
mov eax, fs: [30h]
mov eax, [eax+18h] ; PEB.ProcessHeap
mov eax, [eax+0ch] ; PEB.ProcessHeap.Flags
cmp eax, 2
jne rt_label
jmp rf_label
}
2.5 FD_Heap_ForceFlags
进程堆里另外一个标志,ForceFlags,它也由一组标志组成,正常情况下,该值应为0。
__asm
{
mov eax, fs: [30h]
mov eax, [eax+18h] ; PEB.ProcessHeap
mov eax, [eax+10h] ; PEB.ProcessHeap.ForceFlags
test eax, eax
jne rt_label
jmp rf_label
}
{
mov eax, fs: [30h]
mov eax, [eax+18h] ; PEB.ProcessHeap
mov eax, [eax+10h] ; PEB.ProcessHeap.ForceFlags
test eax, eax
jne rt_label
jmp rf_label
}
2.6 FD_Heap_Tail
如果处于调试中,堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED 将会在分配的堆块尾部生成两个0xABABABAB。如果需要额外的字节来填充堆尾,HEAP_FREE_CHECKING_ENABLED标志则会生成0xFEEEFEEE。
据说Themida使用过这个反调试
如果处于调试中,堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED 将会在分配的堆块尾部生成两个0xABABABAB。如果需要额外的字节来填充堆尾,HEAP_FREE_CHECKING_ENABLED标志则会生成0xFEEEFEEE。
据说Themida使用过这个反调试
__asm
{
mov eax, buff
; get unused_bytes
movzx ecx, byte ptr [eax- 2 ]
movzx edx, word ptr [eax- 8 ] ; size
sub eax, ecx
lea edi, [edx* 8 +eax]
mov al, 0abh
mov cl, 8
repe sca**
je rt_label
jmp rf_label
}
{
mov eax, buff
; get unused_bytes
movzx ecx, byte ptr [eax- 2 ]
movzx edx, word ptr [eax- 8 ] ; size
sub eax, ecx
lea edi, [edx* 8 +eax]
mov al, 0abh
mov cl, 8
repe sca**
je rt_label
jmp rf_label
}
2.7 FD_CheckRemoteDebuggerPresent
CheckRemoteDebuggerPresent是另一个检测调试的api,只是可惜它似乎只能在winxp sp1版本以后使用。它主要是用来查询一个在winnt时就有的一个数值,其内部会调用NtQueryInformationProcess(),我是这样实现的:
CheckRemoteDebuggerPresent是另一个检测调试的api,只是可惜它似乎只能在winxp sp1版本以后使用。它主要是用来查询一个在winnt时就有的一个数值,其内部会调用NtQueryInformationProcess(),我是这样实现的:
FARPROC Func_addr
;
HMODULE hModule = GetModuleHandle( " kernel32.dll " ) ;
if (hModule==INVALID_HANDLE_VALUE)
return false ;
(FARPROC&) Func_addr =GetProcAddress(hModule, " CheckRemoteDebuggerPresent " ) ;
if (Func_addr != NULL)
{
__asm
{
push eax ;
push esp ;
push 0xffffffff ;
call Func_addr ;
test eax,eax ;
je rf_label ;
pop eax ;
test eax,eax
je rf_label ;
jmp rt_label ;
}
}
HMODULE hModule = GetModuleHandle( " kernel32.dll " ) ;
if (hModule==INVALID_HANDLE_VALUE)
return false ;
(FARPROC&) Func_addr =GetProcAddress(hModule, " CheckRemoteDebuggerPresent " ) ;
if (Func_addr != NULL)
{
__asm
{
push eax ;
push esp ;
push 0xffffffff ;
call Func_addr ;
test eax,eax ;
je rf_label ;
pop eax ;
test eax,eax
je rf_label ;
jmp rt_label ;
}
}
