常见静态反调试技术总结
目录
- 静态反调试技术
- 1 PEB
- 1.1 BeingDebugged +0x002
- 1.2 Ldr +00c
- 1.3 ProcessHeap +0x018
- 1.4 NtGlobalFlag +0x068
- 示例 StaAD_PEB.exe
- IsDebuggerPresent()&BeingDebugged
- Ldr
- ProcessHeap
- NtGlobalFlag
- 2 NtQueryInformationProcess()
- 2.1 ProcessDebugPort(0x07)
- 2.2 ProcessDebugObjectHandle(0x1E)
- 2.3 ProcessDebugFlags(0x1F)
- 破解之法
- 示例 StAD_NtQIP
- 3 TLS
- 4 ETC
- 示例
静态反调试技术
本文介绍了几种常见的静态反调试技术,包括PEB,LTS等
文中用到的程序资源https://download.csdn.net/download/weixin_45551083/12549567
1 PEB
TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。
PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。在Win 2000下,进程环境块的地址对于每个进程来说是固定的,在0x7FFDF000处,这是用户地址空间,所以程序能够直接访问。
- 获取PEB地址:
(1) 直接获取
mov eax,fs:[0x30]
mov PEB,eax
(2) 先获取TEB地址,再获取TEB
mov eax, fs:[0x18] ;0x18处是TEB地址
mov eax, ds:[eax+0x30]
- PEB中与反调试密切相关的成员:
+0x002 BeingDebugged
+0x00c Ldr
+0x018 ProcessHeap
+0x068 NtGlobalFlag
1.1 BeingDebugged +0x002
进程处于调试状态时,PEB.BeingDebugged成员的值设为1.在非调试状态下为0;
- IsDebuggerPresent() API
通过获取PEB.BeingDebugged的值来判断是否处于被调试状态,被调试返回非0值,未被调试返回0值
修改PEB.BeingDebugged的值或者IsDebuggerPresent() 的返回值即可破解
1.2 Ldr +00c
调试进程时,其堆内存区域中会出现一些特殊标识,表名它正处于被调试状态.最醒目的是.未使用的堆内存区域全部填充着0xEEFEEEFE.利用这一特征可判断是否处于被调试状态.
PEB.Ldr 指向_PEB_LDR_DATA结构体指针,_PEB_LDR_DATA恰好是在堆中创建的.检测_PEB_LDR_DATA是否是0xEEFEEEFE即可判断是否处于被调试
将填充着0xEEFEEEFE的区域写为NULL即可破解
1.3 ProcessHeap +0x018
PEB.ProcessHeap指向HEAP结构体.
HEAP结构体中与反调试有关的:
+0xC Flags
+0x10 ForceFlags
程序正常运行时,
HEAP.Flags=0x2
HEAP.ForceFlags=0
调试时会发生变化.
- GetProcessHeap()
获取Flags和ForceFlags值来判断是否处于调试状态
破解: 将HEAP.Flags重新修改为2 HEAP.ForceFlags修改为0
1.4 NtGlobalFlag +0x068
调试进程时,PEB.NtGlobalFlag会被置为0x70
破解:修改为0即可
示例 StaAD_PEB.exe
IsDebuggerPresent()&BeingDebugged
- 在0x00401000处下断点(main)
- 逐步跟踪会发现存在IsDebuggerPresent()API的调用
- F7进入
- 继续跟踪
- 先取得了PEB的地址(fs:[30]),再得到BeingDebugged标志位的值.(win xp下会看到eax值为1,改为0即可)
Ldr
// GetModuleHandle 函数声明 :
//获取已经载入进程空间的模块句柄
HMODULE WINAPI GetModuleHandle(
_In_opt_ LPCTSTR lpModuleName//需要获取句柄的模块名。
);
//GetProcAddress函数声明:
//获得函数地址
FARPROC GetProcAddress(
HMODULE hModule, // handle to DLL module
LPCSTR lpProcName // name of function
);
NtCurrentTeb()函数:返回一个指针,指向TEB
- 这段代码先获取了TEB的地址,在获取PEB地址并保存至EBX,并压入栈中
- 下图中是关键循环位置,在此处不停从PEB.ldr所处的位置取值与0XEEFEEEFE比较,若检查出0xEEFEEEFE,则跳转到Debugging位置.
ProcessHeap
- 前面[ebp-30]处,存放的是PEB位置
- 根据PEB找到ProcessHeap(+0x18) ,再找到+0xc位置处的 Flags标志位并与0x2比较判断是否处于调试状态
- 下面测试ForceFlags是否为0,
test esi esi来判断esi是否为空(0).
NtGlobalFlag
- 同样取得NtGlobalFlag (+0x068)位置后与 0x70间接比较
2 NtQueryInformationProcess()
NtQueryInformationProcess顾名思义就是取进程信息 他是属于ntdll.dll里面的一个未公开的api函数
NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess (
IN HANDLE ProcessHandle, // 进程句柄
IN PROCESSINFOCLASS InformationClass, // 信息类型
OUT PVOID ProcessInformation, // 缓冲指针
IN ULONG ProcessInformationLength, // 以字节为单位的缓冲大小
OUT PULONG ReturnLength OPTIONAL // 写入缓冲的字节数
);
它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用 .
与调试有关的第二个参数(InformationClass)的值:
ProcessDebugPort(0x07) , ProcessDebugObjectHandle(0x1E) , ProcessDebugFlags(0x1F)
第二个参数指定不同的值 , 返回结果会返回在 ProcessInformation(第三个参数)
2.1 ProcessDebugPort(0x07)
进程处于调试状态时,操作系统会为他分配1个调试端口(debug port) , InformationClass设为ProcessDebugPort(0x07) 时,调用NtQueryInformationProcess()函数就可以获取调试端口.
若处于调试状态 , 第三个参数会被置为0xFFFFFFFF(-1)
若处于非调试状态,第三个参数值会被设置为0
- CheckRemoteDebuggerPresent() API
实际上也是调用了NtQueryInformationProcess(ProcessDebugPort)
BOOL WINAPI CheckRemoteDebuggerPresent(
_In_ HANDLE hProcess,
_Inout_ PBOOL pbDebuggerPresent
);
如果调试器存在 (通常是检测自己是否正在被调试), 该函数会将pbDebuggerPresent指向的值设为0xffffffff.
2.2 ProcessDebugObjectHandle(0x1E)
调试进程时,会生成一个调试对象(Debug Obiect). NtQueryInformationProcess()第二个参数值为0x1E时 , 函数的第三个参数就能获取到调试对象句柄 ,
进程处于调试状态->调试句柄存在->返回值不为NULL
处于非调试状态 , 返回值为NULL
2.3 ProcessDebugFlags(0x1F)
调试标志:Debug Flags
检测调试标志的值也可以判断进程是否处于被调试状态.
NtQueryInformationProcess()第二个参数为0x1F
第三个参数:
调试状态:0
非调试状态:1
破解之法
- API HOOK(多次调用该API 时)
- 修改返回值(仅调用几次该API)
示例 StAD_NtQIP
- 先间接获得NtQueryInformationProcess()位置
- [local.1],[local.2],[local.2]可以判断出是携带返回结果的参数ProcessInformation
- 传入0x07判断返回值是否为0(非调试状态)
- 传入0x1E判断返回值是否为NULL(0)(非调试状态)
- 传入0x1F判断返回值是否为0(调试状态)
3 TLS
编程中启用了TLS功能 , PE头文件里就会设置TLS表 具体位置:(IMAGE_TLS_DIRECTORY)位置:
IMAGE_NT_HEADERS->IMAGE_OPTIONAL_HEADER->IMAGE_DATA_DIRECTORY[9]
IMAGE_TLS_DIRECTORY里面有AddressOfCallbacks, 指向TLS回调函数VA的数组(可以有多个回调函数)
- TLS回调函数: 创建或终止某线程时,TLS函数会自动调用执行
- TLS函数在EP之前执行,因此可以将反调试的代码放在TLS回调函数里面
- 调试:
od需要设置为系统断点(默认是EP断点)
才能进入TLS函数调试
4 ETC
比较直接的反调试技术
(1) FindWindow() ->检测OllyDbg窗口
(2) CreateToolhelp32Snapshot()检测OllyDbg进程
… …
示例
