反调试技术

前言

反调试技术可以被恶意代码用来识别是否被调试，或者让调试器失效，而倘若想要分析相应的包含反调试机制的恶意代码，则需要进行一些操作。我们先来看看主流的一些反调试技术。

0x1探测调试器

使用windows api

使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些api

IsDebuggerPresent

它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中，返回0，否则返回一个非0值。

CheckRemoteDebuggerPresent

与IsDebuggerPresent几乎一样，而且也是检查本机的某一进程中的PEB中的IsDebugged标志，要传一个句柄作为参数，返回值与上一个一样。

RtQueryInformationProcess

Ntdll.dll中的原生态API，用来提取一个给定进程的信息。将参数置为ProcessDebugPort(0x7)，就可以返回句柄标识的进程是否在被调试，如果在被调试，返回调试端口，否则返回0。

OutputDebugString

这个函数的作用是在调试器中显示一个字符串。同时也可以具有探测功能。使用SetLastError函数，将当前的错误码设置为任意值，如果进程没有被调试，调用OutputDebugString函数会失败，并且返回错误码，那么错误码就不是我们之前设置的那个任意值了，反之，错误码就不会变。

通常，防止恶意代码使用API进行反调试的最简单方法就是在恶意代码运行期间修改恶意代码，使其不能调用探测函数，或者修改这些探测函数的返回值，相对复杂的方法就是使用Hook函数去影响这些函数。

手动检测数据结构

虽然API探测调试器是简单的一种方法，不过手动检查数据结构是恶意代码最常用的手段。因为很多时候通过API的方法无效。

手动检测中，PEB结构中的一些标志暴露了调试器存在的信息。

PEB结构：

typedef struct _PEB{

BYTE    Reserved1[2];

BYTE    BeingDebugged;

BYTE    Reserved2[1];

BYTE    Reserved3[2];

PPEB_LDR_DATA    Ldr;

PRTL_USER_PROCESS_PARAMETERS    ProcessParameters;

BYTE    Reserved4[104];

PVOID    Reserved5[52];

PPS_POST_PROCESS_INIT_ROUTINE    PostProcessInitRoutine;

BYTE    Reserved6[128];

PVOID    Reser