反调试技术

前言

反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。


0x1探测调试器

使用windows api

使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些api

IsDebuggerPresent

它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中,返回0,否则返回一个非0值。

CheckRemoteDebuggerPresent

与IsDebuggerPresent几乎一样,而且也是检查本机的某一进程中的PEB中的IsDebugged标志,要传一个句柄作为参数,返回值与上一个一样。

RtQueryInformationProcess

Ntdll.dll中的原生态API,用来提取一个给定进程的信息。将参数置为ProcessDebugPort(0x7),就可以返回句柄标识的进程是否在被调试,如果在被调试,返回调试端口,否则返回0。

OutputDebugString

这个函数的作用是在调试器中显示一个字符串。同时也可以具有探测功能。使用SetLastError函数,将当前的错误码设置为任意值,如果进程没有被调试,调用OutputDebugString函数会失败,并且返回错误码,那么错误码就不是我们之前设置的那个任意值了,反之,错误码就不会变。

通常,防止恶意代码使用API进行反调试的最简单方法就是在恶意代码运行期间修改恶意代码,使其不能调用探测函数,或者修改这些探测函数的返回值,相对复杂的方法就是使用Hook函数去影响这些函数。


手动检测数据结构

虽然API探测调试器是简单的一种方法,不过手动检查数据结构是恶意代码最常用的手段。因为很多时候通过API的方法无效。

手动检测中,PEB结构中的一些标志暴露了调试器存在的信息。

PEB结构:

typedef struct _PEB{

BYTE    Reserved1[2];

BYTE    BeingDebugged;

BYTE    Reserved2[1];

BYTE    Reserved3[2];

PPEB_LDR_DATA    Ldr;

PRTL_USER_PROCESS_PARAMETERS    ProcessParameters;

BYTE    Reserved4[104];

PVOID    Reserved5[52];

PPS_POST_PROCESS_INIT_ROUTINE    PostProcessInitRoutine;

BYTE    Reserved6[128];

PVOID    Reser

你可能感兴趣的:(反调试技术)