反调试技术常用API,用来对付检测od和自动退出程序
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。
一、Windows API方法
Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否正在被调试,以IsDebuggerPresent函数为例,例子如下:
BOOL ret = IsDebuggerPresent();
printf("ret = %d\n", ret);
破解方法很简单,就是在系统里将这两个函数hook掉,让这两个函数一直返回false就可以了,网上有很多做hook API工作的工具,也有很多工具源代码是开放的,所以这里就不细谈了
二、查询进程PEB的BeingDebugged标志位
当进程被调试器所附加的时候,操作系统会自动设置这个标志位,因此在程序里定期查询这个标志位就可以了,例子如下:
bool PebIsDebuggedApproach()8 R& ]/ {7 V6 T' z, K
{
char result = 0; q" V3 N9 u5 @# q% d+ E$ J
__asm
{
// 进程的PEB地址放在fs这个寄存器位置上" C* e( ], k7 m
mov eax, fs:[30h]7 C/ M0 X; b- G. L' S+ x, S" V
// 查询BeingDebugged标志位6 J5 o, `6 U: a
mov al, BYTE PTR [eax + 2] & k5 `; M9 v( _6 [
mov result, al
}
) n& r& d8 i5 c# t$ P8 s4 K
return result != 0;, d; p" C' q, u8 I8 \
}
三、查询进程PEB的NtGlobal标志位 6 p6 C* _ T- V/ @' l. }
2 g; ~6 k* y# S) R
" \( O( p& i' H, f" T& K
跟第二个方法一样,当进程被调试的时候,操作系统除了修改BeingDebugged这个标志位以外,还会修改其他几个地方,其中NtDll中一些控制堆(Heap)操作的函数的标志位就会被修改,因此也可以查询这个标志位,例子如下:
bool PebNtGlobalFlagsApproach() I V7 g0 J& G9 P2 {2 j$ F# ]
{
int result = 0;
__asm. ]& d" Z1 D$ h. m) d
{" v+ s- m( Z$ c2 T* z8 f
// 进程的PEB
mov eax, fs:[30h]
// 控制堆操作函数的工作方式的标志位
mov eax, [eax + 68h]" c7 F2 s2 \7 ^7 d7 O5 y; [
// 操作系统会加上这些标志位FLG_HEAP_ENABLE_TAIL_CHECK, " O7 I& t, {9 r: g. g) V {9 J
// FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS,
// 它们的并集就是x705 W5 z6 _$ a( b D" `8 u$ W
//' z6 B) L' P1 g! |
// 下面的代码相当于C/C++的5 W3 w5 s$ ?! Y3 u( ^+ N4 _* _
// eax = eax & 0x70# C* f! ^$ B' y
and eax, 0x70
mov result, eax
}; _7 j* E4 {% y) {# u
( `1 B: r, ?8 K# O6 f/ K3 T
return result != 0;+ c5 L# A! R# A' ?
}- T/ K/ B) X/ O
6 k" i* H( ?# l4 O8 D2 y, V, V: L7 {
四、查询进程堆的一些标志位" A) t* ^' n% E. ?. Z( F& L
# x- t; ^1 U/ d7 ?+ O4 s2 P
这个方法是第三个方法的变种,只要进程被调试,进程在堆上分配的内存,在分配的堆的头信息里,ForceFlags这个标志位会被修改,因此可以通过判断这个标志位的方式来反调试。因为进程可以有很多的堆,因此只要检查任意一个堆的头信息就可以了,所以这个方法貌似很强大,例子如下:
0 P# v: B: N+ z' n* |) f
bool HeapFlagsApproach()
{
int result = 0;
& L9 V% Z l) p) {, e9 Q
__asm
{' k) s' P6 p+ `& A, M9 T: f4 F5 G+ o
// 进程的PEB
mov eax, fs:[30h]' K6 Q" {4 [! |; s: T
// 进程的堆,我们随便访问了一个堆,下面是默认的堆
mov eax, [eax + 18h]
// 检查ForceFlag标志位,在没有被调试的情况下应该是4 z1 D s$ I: ^% q P5 _
mov eax, [eax + 10h]7 @7 s3 o8 Y* q5 Z W
mov result, eax% H# F6 I4 z3 Y( h7 ?
}
. m4 Q7 Z3 Q; p3 B
return result != 0;
}8 w; p9 N& P6 k1 K: P7 L+ H
S( R5 V0 X! c# r4 n' C2 ~0 L
5 p" G# F! V3 W) @" |; P: V
- G9 N+ ^4 j6 W0 u
& B; E) _/ ]. \( B: r8 @
五、使用NtQueryInformationProcess函数
% d8 A0 |& v, T$ p- }9 J: l0 T
NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下:
, o) s( p( Q+ [
A0 j" n9 P2 i
// 声明一个函数指针。7 r7 W/ w. T7 N! c
typedef NTSTATUS (WINAPI *NtQueryInformationProcessPtr)(
HANDLE processHandle,
PROCESSINFOCLASS processInformationClass,
PVOID processInformation,
ULONG processInformationLength,
PULONG returnLength);7 z( z/ }+ I! u6 f4 ?, s: W
( B7 _7 ]2 W; K9 a. l* S% z7 a: z
bool NtQueryInformationProcessApproach()# W5 g& c# g& Z6 Y: G8 g5 X
{! k9 t/ F" e4 i4 _% T8 @
int debugPort = 0;
HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));7 R, @8 S6 c q- Y+ G
NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");& n' @! [6 D8 n$ X3 f
if ( NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7, &debugPort, sizeof(debugPort), NULL) )9 ]/ @& h" y) n- o" F) o" E
printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess failed\n");4 O# M$ r9 [4 G' K6 x
else
return debugPort == -1;
8 z6 T$ A6 M8 f& u- U8 p
return false;
}
, P; K$ f5 g5 v! n- {
! Y5 F; y9 a; E( s( t# o3 ]3 L- z: O
六、NtSetInformationThread方法
" W' Q4 a$ o3 y% R% |. C/ ]* l
这个也是使用Windows的一个未公开函数的方法,你可以在当前线程里调用NtSetInformationThread,调用这个函数时,如果在第二个参数里指定0x11这个值(意思是ThreadHideFromDebugger),等于告诉操作系统,将所有附加的调试器统统取消掉。示例代码:1 J" g8 F, u# \3 A
3 b2 h) Z4 P" ]) m- E" R
// 声明一个函数指针。
typedef NTSTATUS (*NtSetInformationThreadPtr)(HANDLE threadHandle,2 q7 n ?% d. U5 S
THREADINFOCLASS threadInformationClass,
PVOID threadInformation,9 K) ]# i# c7 |2 }4 @
ULONG threadInformationLength);6 F* o' |: S: {/ d5 f
" {; s4 Q1 q" x: _) \( C! q$ v
void NtSetInformationThreadApproach()1 x8 s( E- n0 q# }
{
HMODULE hModule = LoadLibrary(TEXT("ntdll.dll"));
NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hModule, "NtSetInformationThread");5 b$ k4 e7 o, Z0 }
NtSetInformationThread(GetCurrentThread(), (THREADINFOCLASS)0x11, 0, 0);: v; o' h2 p' W/ q) q% g* Z V7 s
}
- u& ~) T9 o6 T q$ s* e+ Y
( f3 V( |! s$ ~8 y0 R9 U
6 u/ F" t( ~( e! S5 m" f
七、触发异常的方法2 b' V& l& z# j" m
: \* L/ a( M) g
这个技术的原理是,首先,进程使用SetUnhandledExceptionFilter函数注册一个未处理异常处理函数A,如果进程没有被调试的话,那么触发一个未处理异常,会导致操作系统将控制权交给先前注册的函数A;而如果进程被调试的话,那么这个未处理异常会被调试器捕捉,这样我们的函数A就没有机会运行了。
8 c8 L# _+ a! _+ ?% v
# y% j* t5 a: P- B0 ]# I$ N% y, k
这里有一个技巧,就是触发未处理异常的时候,如果跳转回原来代码继续执行,而不是让操作系统关闭进程。方案是在函数A里修改eip的值,因为在函数A的参数_EXCEPTION_POINTERS里,会保存当时触发异常的指令地址,所以在函数A里根据这个指令地址修改寄存器eip的值就可以了,示例代码如下:/ |$ r: ]% X5 O
" z6 t# \6 s2 o3 E* M; k
) H# x9 U/ t$ w5 H2 `
// 进程要注册的未处理异常处理程序A/ {1 m! t/ S r( A b2 o7 z
LONG WINAPI MyUnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei)$ M. a( ~0 s# M! d7 m
{' B/ V" Q: D5 J) r7 G8 [5 K1 ?
SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)
pei->ContextRecord->Eax);
// 修改寄存器eip的值
pei->ContextRecord->Eip += 2;5 Y7 B9 A {5 N- D1 B. \
// 告诉操作系统,继续执行进程剩余的指令(指令保存在eip里),而不是关闭进程+ \4 i- I( [/ F9 z% H1 `0 e/ n
return EXCEPTION_CONTINUE_EXECUTION;7 [9 s6 K. R4 x7 i6 M x3 o
}
bool UnhandledExceptionFilterApproach()
{5 h% s9 O! v8 }- Q
SetUnhandledExceptionFilter(MyUnhandledExceptionFilter);
__asm
{. j2 P# |9 H( b
// 将eax清零
xor eax, eax
// 触发一个除零异常
div eax9 q8 l3 f* v0 c4 Q
}6 Q5 N7 g- J8 D2 h( z9 F y1 u
0 _2 j* U% D9 n" M
return false;6 w7 ]! y1 r* p( r
} \/ z* ?( k" W
八、调用DeleteFiber函数* o9 g' y6 r; y" o
- h, g$ t3 F4 v
如果给DeleteFiber函数传递一个无效的参数的话,DeleteFiber函数除了会抛出一个异常以外,还是将进程的LastError值设置为具体出错原因的代号。然而,如果进程正在被调试的话,这个LastError值会被修改,因此如果调试器绕过了第七步里讲的反调试技术的话,我们还可以通过验证LastError值是不是被修改过来检测调试器的存在,示例代码:
bool DeleteFiberApproach()% _5 i% ?, d5 g
{% Y0 y) Q+ b1 }7 o: Y& _2 O# e# o
char fib[1024] = {0};
// 会抛出一个异常并被调试器捕获
DeleteFiber(fib);
// 0x57的意思是ERROR_INVALID_PARAMETER
return (GetLastError() != 0x57);& \9 m2 J, F" T" V
}
一、Windows API方法
Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否正在被调试,以IsDebuggerPresent函数为例,例子如下:
BOOL ret = IsDebuggerPresent();
printf("ret = %d\n", ret);
破解方法很简单,就是在系统里将这两个函数hook掉,让这两个函数一直返回false就可以了,网上有很多做hook API工作的工具,也有很多工具源代码是开放的,所以这里就不细谈了
二、查询进程PEB的BeingDebugged标志位
当进程被调试器所附加的时候,操作系统会自动设置这个标志位,因此在程序里定期查询这个标志位就可以了,例子如下:
bool PebIsDebuggedApproach()8 R& ]/ {7 V6 T' z, K
{
char result = 0; q" V3 N9 u5 @# q% d+ E$ J
__asm
{
// 进程的PEB地址放在fs这个寄存器位置上" C* e( ], k7 m
mov eax, fs:[30h]7 C/ M0 X; b- G. L' S+ x, S" V
// 查询BeingDebugged标志位6 J5 o, `6 U: a
mov al, BYTE PTR [eax + 2] & k5 `; M9 v( _6 [
mov result, al
}
) n& r& d8 i5 c# t$ P8 s4 K
return result != 0;, d; p" C' q, u8 I8 \
}
三、查询进程PEB的NtGlobal标志位 6 p6 C* _ T- V/ @' l. }
2 g; ~6 k* y# S) R
" \( O( p& i' H, f" T& K
跟第二个方法一样,当进程被调试的时候,操作系统除了修改BeingDebugged这个标志位以外,还会修改其他几个地方,其中NtDll中一些控制堆(Heap)操作的函数的标志位就会被修改,因此也可以查询这个标志位,例子如下:
bool PebNtGlobalFlagsApproach() I V7 g0 J& G9 P2 {2 j$ F# ]
{
int result = 0;
__asm. ]& d" Z1 D$ h. m) d
{" v+ s- m( Z$ c2 T* z8 f
// 进程的PEB
mov eax, fs:[30h]
// 控制堆操作函数的工作方式的标志位
mov eax, [eax + 68h]" c7 F2 s2 \7 ^7 d7 O5 y; [
// 操作系统会加上这些标志位FLG_HEAP_ENABLE_TAIL_CHECK, " O7 I& t, {9 r: g. g) V {9 J
// FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS,
// 它们的并集就是x705 W5 z6 _$ a( b D" `8 u$ W
//' z6 B) L' P1 g! |
// 下面的代码相当于C/C++的5 W3 w5 s$ ?! Y3 u( ^+ N4 _* _
// eax = eax & 0x70# C* f! ^$ B' y
and eax, 0x70
mov result, eax
}; _7 j* E4 {% y) {# u
( `1 B: r, ?8 K# O6 f/ K3 T
return result != 0;+ c5 L# A! R# A' ?
}- T/ K/ B) X/ O
6 k" i* H( ?# l4 O8 D2 y, V, V: L7 {
四、查询进程堆的一些标志位" A) t* ^' n% E. ?. Z( F& L
# x- t; ^1 U/ d7 ?+ O4 s2 P
这个方法是第三个方法的变种,只要进程被调试,进程在堆上分配的内存,在分配的堆的头信息里,ForceFlags这个标志位会被修改,因此可以通过判断这个标志位的方式来反调试。因为进程可以有很多的堆,因此只要检查任意一个堆的头信息就可以了,所以这个方法貌似很强大,例子如下:
0 P# v: B: N+ z' n* |) f
bool HeapFlagsApproach()
{
int result = 0;
& L9 V% Z l) p) {, e9 Q
__asm
{' k) s' P6 p+ `& A, M9 T: f4 F5 G+ o
// 进程的PEB
mov eax, fs:[30h]' K6 Q" {4 [! |; s: T
// 进程的堆,我们随便访问了一个堆,下面是默认的堆
mov eax, [eax + 18h]
// 检查ForceFlag标志位,在没有被调试的情况下应该是4 z1 D s$ I: ^% q P5 _
mov eax, [eax + 10h]7 @7 s3 o8 Y* q5 Z W
mov result, eax% H# F6 I4 z3 Y( h7 ?
}
. m4 Q7 Z3 Q; p3 B
return result != 0;
}8 w; p9 N& P6 k1 K: P7 L+ H
S( R5 V0 X! c# r4 n' C2 ~0 L
5 p" G# F! V3 W) @" |; P: V
- G9 N+ ^4 j6 W0 u
& B; E) _/ ]. \( B: r8 @
五、使用NtQueryInformationProcess函数
% d8 A0 |& v, T$ p- }9 J: l0 T
NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下:
, o) s( p( Q+ [
A0 j" n9 P2 i
// 声明一个函数指针。7 r7 W/ w. T7 N! c
typedef NTSTATUS (WINAPI *NtQueryInformationProcessPtr)(
HANDLE processHandle,
PROCESSINFOCLASS processInformationClass,
PVOID processInformation,
ULONG processInformationLength,
PULONG returnLength);7 z( z/ }+ I! u6 f4 ?, s: W
( B7 _7 ]2 W; K9 a. l* S% z7 a: z
bool NtQueryInformationProcessApproach()# W5 g& c# g& Z6 Y: G8 g5 X
{! k9 t/ F" e4 i4 _% T8 @
int debugPort = 0;
HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));7 R, @8 S6 c q- Y+ G
NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");& n' @! [6 D8 n$ X3 f
if ( NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7, &debugPort, sizeof(debugPort), NULL) )9 ]/ @& h" y) n- o" F) o" E
printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess failed\n");4 O# M$ r9 [4 G' K6 x
else
return debugPort == -1;
8 z6 T$ A6 M8 f& u- U8 p
return false;
}
, P; K$ f5 g5 v! n- {
! Y5 F; y9 a; E( s( t# o3 ]3 L- z: O
六、NtSetInformationThread方法
" W' Q4 a$ o3 y% R% |. C/ ]* l
这个也是使用Windows的一个未公开函数的方法,你可以在当前线程里调用NtSetInformationThread,调用这个函数时,如果在第二个参数里指定0x11这个值(意思是ThreadHideFromDebugger),等于告诉操作系统,将所有附加的调试器统统取消掉。示例代码:1 J" g8 F, u# \3 A
3 b2 h) Z4 P" ]) m- E" R
// 声明一个函数指针。
typedef NTSTATUS (*NtSetInformationThreadPtr)(HANDLE threadHandle,2 q7 n ?% d. U5 S
THREADINFOCLASS threadInformationClass,
PVOID threadInformation,9 K) ]# i# c7 |2 }4 @
ULONG threadInformationLength);6 F* o' |: S: {/ d5 f
" {; s4 Q1 q" x: _) \( C! q$ v
void NtSetInformationThreadApproach()1 x8 s( E- n0 q# }
{
HMODULE hModule = LoadLibrary(TEXT("ntdll.dll"));
NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hModule, "NtSetInformationThread");5 b$ k4 e7 o, Z0 }
NtSetInformationThread(GetCurrentThread(), (THREADINFOCLASS)0x11, 0, 0);: v; o' h2 p' W/ q) q% g* Z V7 s
}
- u& ~) T9 o6 T q$ s* e+ Y
( f3 V( |! s$ ~8 y0 R9 U
6 u/ F" t( ~( e! S5 m" f
七、触发异常的方法2 b' V& l& z# j" m
: \* L/ a( M) g
这个技术的原理是,首先,进程使用SetUnhandledExceptionFilter函数注册一个未处理异常处理函数A,如果进程没有被调试的话,那么触发一个未处理异常,会导致操作系统将控制权交给先前注册的函数A;而如果进程被调试的话,那么这个未处理异常会被调试器捕捉,这样我们的函数A就没有机会运行了。
8 c8 L# _+ a! _+ ?% v
# y% j* t5 a: P- B0 ]# I$ N% y, k
这里有一个技巧,就是触发未处理异常的时候,如果跳转回原来代码继续执行,而不是让操作系统关闭进程。方案是在函数A里修改eip的值,因为在函数A的参数_EXCEPTION_POINTERS里,会保存当时触发异常的指令地址,所以在函数A里根据这个指令地址修改寄存器eip的值就可以了,示例代码如下:/ |$ r: ]% X5 O
" z6 t# \6 s2 o3 E* M; k
) H# x9 U/ t$ w5 H2 `
// 进程要注册的未处理异常处理程序A/ {1 m! t/ S r( A b2 o7 z
LONG WINAPI MyUnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei)$ M. a( ~0 s# M! d7 m
{' B/ V" Q: D5 J) r7 G8 [5 K1 ?
SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)
pei->ContextRecord->Eax);
// 修改寄存器eip的值
pei->ContextRecord->Eip += 2;5 Y7 B9 A {5 N- D1 B. \
// 告诉操作系统,继续执行进程剩余的指令(指令保存在eip里),而不是关闭进程+ \4 i- I( [/ F9 z% H1 `0 e/ n
return EXCEPTION_CONTINUE_EXECUTION;7 [9 s6 K. R4 x7 i6 M x3 o
}
bool UnhandledExceptionFilterApproach()
{5 h% s9 O! v8 }- Q
SetUnhandledExceptionFilter(MyUnhandledExceptionFilter);
__asm
{. j2 P# |9 H( b
// 将eax清零
xor eax, eax
// 触发一个除零异常
div eax9 q8 l3 f* v0 c4 Q
}6 Q5 N7 g- J8 D2 h( z9 F y1 u
0 _2 j* U% D9 n" M
return false;6 w7 ]! y1 r* p( r
} \/ z* ?( k" W
八、调用DeleteFiber函数* o9 g' y6 r; y" o
- h, g$ t3 F4 v
如果给DeleteFiber函数传递一个无效的参数的话,DeleteFiber函数除了会抛出一个异常以外,还是将进程的LastError值设置为具体出错原因的代号。然而,如果进程正在被调试的话,这个LastError值会被修改,因此如果调试器绕过了第七步里讲的反调试技术的话,我们还可以通过验证LastError值是不是被修改过来检测调试器的存在,示例代码:
bool DeleteFiberApproach()% _5 i% ?, d5 g
{% Y0 y) Q+ b1 }7 o: Y& _2 O# e# o
char fib[1024] = {0};
// 会抛出一个异常并被调试器捕获
DeleteFiber(fib);
// 0x57的意思是ERROR_INVALID_PARAMETER
return (GetLastError() != 0x57);& \9 m2 J, F" T" V
}
jpg改rar