反调试技术常用API,用来对付检测od和自动退出程序

时间:2022-07-19 04:57:15
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。



一、Windows API方法



Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否正在被调试,以IsDebuggerPresent函数为例,例子如下:

BOOL ret = IsDebuggerPresent();

printf("ret = %d\n", ret);



破解方法很简单,就是在系统里将这两个函数hook掉,让这两个函数一直返回false就可以了,网上有很多做hook API工作的工具,也有很多工具源代码是开放的,所以这里就不细谈了

二、查询进程PEB的BeingDebugged标志位



当进程被调试器所附加的时候,操作系统会自动设置这个标志位,因此在程序里定期查询这个标志位就可以了,例子如下:



bool PebIsDebuggedApproach()8
R& ]/ {7 V6 T' z, K

{

       char result = 0;  q"
V3 N9 u5 @# q% d+ E$ J

       __asm

       {

                // 进程的PEB地址放在fs这个寄存器位置上"
C* e( ], k7 m

              mov eax, fs:[30h]7
C/ M0 X; b- G. L' S+ x, S" V

                // 查询BeingDebugged标志位6
J5 o, `6 U: a

              mov al, BYTE PTR [eax + 2] &
k5 `; M9 v( _6 [

              mov result, al

       }

)
n& r& d8 i5 c# t$ P8 s4 K

       return result != 0;,
d; p" C' q, u8 I8 \

}



三、查询进程PEB的NtGlobal标志位 6
p6 C* _  T- V/ @' l. }

2
g; ~6 k* y# S) R

"
\( O( p& i' H, f" T& K

跟第二个方法一样,当进程被调试的时候,操作系统除了修改BeingDebugged这个标志位以外,还会修改其他几个地方,其中NtDll中一些控制堆(Heap)操作的函数的标志位就会被修改,因此也可以查询这个标志位,例子如下:



bool PebNtGlobalFlagsApproach()  I  V7
g0 J& G9 P2 {2 j$ F# ]

{

       int result = 0;

__asm.
]& d" Z1 D$ h. m) d

       {"
v+ s- m( Z$ c2 T* z8 f

                          // 进程的PEB

              mov eax, fs:[30h]

                          // 控制堆操作函数的工作方式的标志位

              mov eax, [eax + 68h]"
c7 F2 s2 \7 ^7 d7 O5 y; [

                          // 操作系统会加上这些标志位FLG_HEAP_ENABLE_TAIL_CHECK, "
O7 I& t, {9 r: g. g) V  {9 J

                          // FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS,

                          // 它们的并集就是x705
W5 z6 _$ a( b  D" `8 u$ W

                          //'
z6 B) L' P1 g! |

                          // 下面的代码相当于C/C++的5
W3 w5 s$ ?! Y3 u( ^+ N4 _* _

                          //     eax = eax & 0x70#
C* f! ^$ B' y

              and eax, 0x70

              mov result, eax

       };
_7 j* E4 {% y) {# u

(
`1 B: r, ?8 K# O6 f/ K3 T

       return result != 0;+
c5 L# A! R# A' ?

}-
T/ K/ B) X/ O

6
k" i* H( ?# l4 O8 D2 y, V, V: L7 {





四、查询进程堆的一些标志位"
A) t* ^' n% E. ?. Z( F& L



#
x- t; ^1 U/ d7 ?+ O4 s2 P

这个方法是第三个方法的变种,只要进程被调试,进程在堆上分配的内存,在分配的堆的头信息里,ForceFlags这个标志位会被修改,因此可以通过判断这个标志位的方式来反调试。因为进程可以有很多的堆,因此只要检查任意一个堆的头信息就可以了,所以这个方法貌似很强大,例子如下:

0
P# v: B: N+ z' n* |) f

bool HeapFlagsApproach()

{

       int result = 0;

&
L9 V% Z  l) p) {, e9 Q

       __asm

       {'
k) s' P6 p+ `& A, M9 T: f4 F5 G+ o

                      // 进程的PEB

              mov eax, fs:[30h]'
K6 Q" {4 [! |; s: T

                      // 进程的堆,我们随便访问了一个堆,下面是默认的堆

              mov eax, [eax + 18h]

                          // 检查ForceFlag标志位,在没有被调试的情况下应该是4
z1 D  s$ I: ^% q  P5 _

              mov eax, [eax + 10h]7
@7 s3 o8 Y* q5 Z  W

              mov result, eax%
H# F6 I4 z3 Y( h7 ?

       }

.
m4 Q7 Z3 Q; p3 B

       return result != 0;

}8
w; p9 N& P6 k1 K: P7 L+ H

  S(
R5 V0 X! c# r4 n' C2 ~0 L

5
p" G# F! V3 W) @" |; P: V

-
G9 N+ ^4 j6 W0 u

&
B; E) _/ ]. \( B: r8 @

五、使用NtQueryInformationProcess函数

%
d8 A0 |& v, T$ p- }9 J: l0 T



NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下:

,
o) s( p( Q+ [

  A0
j" n9 P2 i

// 声明一个函数指针。7
r7 W/ w. T7 N! c

typedef NTSTATUS (WINAPI *NtQueryInformationProcessPtr)(

       HANDLE processHandle,

       PROCESSINFOCLASS processInformationClass,

       PVOID processInformation,

       ULONG processInformationLength,

       PULONG returnLength);7
z( z/ }+ I! u6 f4 ?, s: W

(
B7 _7 ]2 W; K9 a. l* S% z7 a: z

bool NtQueryInformationProcessApproach()#
W5 g& c# g& Z6 Y: G8 g5 X

{!
k9 t/ F" e4 i4 _% T8 @

       int debugPort = 0;

       HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));7
R, @8 S6 c  q- Y+ G

       NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule,
"NtQueryInformationProcess");&
n' @! [6 D8 n$ X3 f

       if ( NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7,
&debugPort, sizeof(debugPort), NULL) )9
]/ @& h" y) n- o" F) o" E

              printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess
failed\n");4
O# M$ r9 [4 G' K6 x

       else

              return debugPort == -1;

8
z6 T$ A6 M8 f& u- U8 p

       return false;

}

,
P; K$ f5 g5 v! n- {

!
Y5 F; y9 a; E( s( t# o3 ]3 L- z: O



六、NtSetInformationThread方法

"
W' Q4 a$ o3 y% R% |. C/ ]* l



这个也是使用Windows的一个未公开函数的方法,你可以在当前线程里调用NtSetInformationThread,调用这个函数时,如果在第二个参数里指定0x11这个值(意思是ThreadHideFromDebugger),等于告诉操作系统,将所有附加的调试器统统取消掉。示例代码:1
J" g8 F, u# \3 A



3
b2 h) Z4 P" ]) m- E" R

// 声明一个函数指针。

typedef NTSTATUS (*NtSetInformationThreadPtr)(HANDLE threadHandle,2
q7 n  ?% d. U5 S

       THREADINFOCLASS threadInformationClass,

       PVOID threadInformation,9
K) ]# i# c7 |2 }4 @

       ULONG threadInformationLength);6
F* o' |: S: {/ d5 f

"
{; s4 Q1 q" x: _) \( C! q$ v

void NtSetInformationThreadApproach()1
x8 s( E- n0 q# }

{

      HMODULE hModule = LoadLibrary(TEXT("ntdll.dll"));

      NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hModule,
"NtSetInformationThread");5
b$ k4 e7 o, Z0 }

    

      NtSetInformationThread(GetCurrentThread(), (THREADINFOCLASS)0x11, 0,
0);:
v; o' h2 p' W/ q) q% g* Z  V7 s

}

-
u& ~) T9 o6 T  q$ s* e+ Y

(
f3 V( |! s$ ~8 y0 R9 U

6
u/ F" t( ~( e! S5 m" f

七、触发异常的方法2
b' V& l& z# j" m

:
\* L/ a( M) g



这个技术的原理是,首先,进程使用SetUnhandledExceptionFilter函数注册一个未处理异常处理函数A,如果进程没有被调试的话,那么触发一个未处理异常,会导致操作系统将控制权交给先前注册的函数A;而如果进程被调试的话,那么这个未处理异常会被调试器捕捉,这样我们的函数A就没有机会运行了。

8
c8 L# _+ a! _+ ?% v

#
y% j* t5 a: P- B0 ]# I$ N% y, k

这里有一个技巧,就是触发未处理异常的时候,如果跳转回原来代码继续执行,而不是让操作系统关闭进程。方案是在函数A里修改eip的值,因为在函数A的参数_EXCEPTION_POINTERS里,会保存当时触发异常的指令地址,所以在函数A里根据这个指令地址修改寄存器eip的值就可以了,示例代码如下:/
|$ r: ]% X5 O

"
z6 t# \6 s2 o3 E* M; k

)
H# x9 U/ t$ w5 H2 `

// 进程要注册的未处理异常处理程序A/
{1 m! t/ S  r( A  b2 o7 z

LONG WINAPI MyUnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei)$
M. a( ~0 s# M! d7 m

{'
B/ V" Q: D5 J) r7 G8 [5 K1 ?

       SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)

              pei->ContextRecord->Eax);

       // 修改寄存器eip的值

       pei->ContextRecord->Eip += 2;5
Y7 B9 A  {5 N- D1 B. \

       // 告诉操作系统,继续执行进程剩余的指令(指令保存在eip里),而不是关闭进程+
\4 i- I( [/ F9 z% H1 `0 e/ n

       return EXCEPTION_CONTINUE_EXECUTION;7
[9 s6 K. R4 x7 i6 M  x3 o

}



bool UnhandledExceptionFilterApproach()

{5
h% s9 O! v8 }- Q

       SetUnhandledExceptionFilter(MyUnhandledExceptionFilter);

       __asm

       {.
j2 P# |9 H( b

              // 将eax清零

              xor eax, eax

              // 触发一个除零异常

              div eax9
q8 l3 f* v0 c4 Q

       }6
Q5 N7 g- J8 D2 h( z9 F  y1 u

0
_2 j* U% D9 n" M

       return false;6
w7 ]! y1 r* p( r

}  \/
z* ?( k" W





八、调用DeleteFiber函数*
o9 g' y6 r; y" o

-
h, g$ t3 F4 v



如果给DeleteFiber函数传递一个无效的参数的话,DeleteFiber函数除了会抛出一个异常以外,还是将进程的LastError值设置为具体出错原因的代号。然而,如果进程正在被调试的话,这个LastError值会被修改,因此如果调试器绕过了第七步里讲的反调试技术的话,我们还可以通过验证LastError值是不是被修改过来检测调试器的存在,示例代码:





bool DeleteFiberApproach()%
_5 i% ?, d5 g

{%
Y0 y) Q+ b1 }7 o: Y& _2 O# e# o

       char fib[1024] = {0};

       // 会抛出一个异常并被调试器捕获

       DeleteFiber(fib);



       // 0x57的意思是ERROR_INVALID_PARAMETER

       return (GetLastError() != 0x57);&
\9 m2 J, F" T" V

}
jpg改rar反调试技术常用API,用来对付检测od和自动退出程序