反调试技术源码与实例汇编版资源-CSDN文库

共26个文件

rar：25个

pdf：1个

反调试技术

2星需积分: 9 35 浏览量 2010-10-05 17:06:40 上传评论 1 收藏 711KB ZIP 举报

资源推荐

资源详情

资源评论

收起资源包目录

反调试技术实例汇编版.zip （26个子文件）

各种反调试技术原理与实例VC版.pdf 406KB

反调试技术实例汇编版

TLS_Antiod.rar 2KB

GuardPage保护页异常.rar 3KB

API函数断点检测int3.rar 2KB

TrapFlag.rar 2KB

通过类名窗口标题检测OD并关闭OD.rar 55KB

HardwareBreakpoints.rar 2KB

通过类名检测OD并终止OD_2.rar 56KB

NtGlobalFlag.rar 2KB

删除硬件断点.rar 2KB

SeDebugPrivilege进程权限.rar 2KB

进程是否有打开系统进程的权限.rar 10KB

异常处理.rar 2KB

ZwQueryInformationProcess.rar 2KB

计时器反调试.rar 38KB

EnableWindow.rar 2KB

EnumWindow.rar 2KB

SoftwareBreakpoints.rar 2KB

BeingDebugged.rar 19KB

校验和_补丁检测.rar 2KB

ThreadHideFromDebugger.rar 105KB

SetUnhandledExceptionFilter_Debugger Interrupts.rar 2KB

StartupInfo结构反调试.rar 61KB

CheckRemoteDebuggerPresent.rar 1KB

OutputDebugString.rar 2KB

父进程是否EXPLORER.rar 3KB

写意互联网 http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

反调试技术...............................................................................................................................2

发现 OD 的处理...............................................................................................................2

1. 窗口类名、窗口名...................................................................................................3

2. 检测调试器进程.......................................................................................................4

3. 父进程是否是 Explorer............................................................................................5

4. RDTSC/ GetTickCount 时间敏感程序段 ................................................................6

5. StartupInfo 结构........................................................................................................7

6. BeingDebugged.........................................................................................................8

7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags..........................................9

8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess()........12

9. SetUnhandledExceptionFilter/ Debugger Interrupts...............................................14

10. Trap Flag 单步标志异常 ....................................................................................16

11. SeDebugPrivilege 进程权限..............................................................................16

12. DebugObject: NtQueryObject()..........................................................................17

13. OllyDbg：Guard Pages ......................................................................................20

14. Software Breakpoint Detection...........................................................................22

15. Hardware Breakpoints Detection ........................................................................24

16. PatchingDetection CodeChecksumCalculation 补丁检测，代码检验和..........25

17. block input 封锁键盘、鼠标输入......................................................................26

18. EnableWindow 禁用窗口...................................................................................27

19. ThreadHideFromDebugger .................................................................................27

20. Disabling Breakpoints 禁用硬件断点................................................................29

21. OllyDbg:OutputDebugString() Format String Bug.............................................30

22. TLS Callbacks.....................................................................................................30

反反调试技术.................................................................................................................35

写意互联网 http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

反调试技术

反调试技术反调试技术

反调试技术 VC 版

版版

版

唐久涛

看雪 ID：tangjiutao

本人空间：http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

声明：这篇文章是本人学习的总结，理论部分参考了《脱壳的艺术》、《加密与解密》以及本人从网络上收

集的资料，在此向原作者致敬。本人的贡献在于根据个人理解对各种反调试技术进行了汇总和高度归纳，

并提供了本人创作的各种反调试实例及源代码。本人于 09 年 9 月份开始学习软件逆向工程的相关知识，在

学习过程中得到大量网友的热心帮助，在此向各位致以诚挚谢意。希望本人的这些工作能够对各位有所帮

助，浅陋之处，莫要见笑。各种形式的转载都必须保留作者信息及本声明。

由于本人入门较晚、能力有限，部分方法尚未实现，望高手不吝赐教。实现了的方法大都附有实例程序。

很多方法对于修改版的 OD 已经失效，请用原版 OD 进行测试。

发现

发现发现

发现 OD 的处理

的处理的处理

的处理

一、如何获取 OD 窗口的句柄

1.已经获取了窗口类名或标题：FindWindow 函数

2.没有获取窗口类名或标题

没有获取窗口类名或标题没有获取窗口类名或标题

没有获取窗口类名或标题：

：：

：GetForeGroundWindow 返回前台窗口

返回前台窗口返回前台窗口

返回前台窗口，

，，

，这里就是

这里就是这里就是

这里就是 OD 的窗口

的窗口的窗口

的窗口

句柄

句柄句柄

句柄了

了了

了。

。。

。注意这种方法更为重要

注意这种方法更为重要注意这种方法更为重要

注意这种方法更为重要，

，，

，因为大多数情况下不会知道

因为大多数情况下不会知道因为大多数情况下不会知道

因为大多数情况下不会知道 OD 的窗口类名

的窗口类名的窗口类名

的窗口类名。

。。

。

invoke IsDebuggerPresent

.if eax

invoke GetForegroundWindow ;获得的是 OD 的窗口句柄

invoke SendMessage,eax,WM_CLOSE,NULL,NULL

.endif

二、获取 OD 窗口句柄后的处理

（1）向窗口发送 WM_CLOSE 消息

void CDetectODDlg::OnWndcls()

{

// TODO: Add your control notification handler code here

HWND hWnd;

if(hWnd=::FindWindow("OllyDbg",NULL))

{

MessageBox("发现 OD");

::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

}else{

MessageBox("没发现 OD");

}

（2）使 OD 窗口不可用

HWND hd_od=FindWindow("ollydbg",NULL);

SetWindowLong(hd_od,GWL_STYLE,WS_DISABLED);

（3）终止相关进程，根据窗口句柄获取进程 ID，根据进程 ID 获取进程句柄，

HWND hWnd;

HANDLE hProc;

DWORD pId;

写意互联网 http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

if(hWnd=::FindWindow("OllyDbg",NULL)) //获取窗口句柄

{

MessageBox("发现 OD");

GetWindowThreadProcessId(hWnd,&pId); //获取进程 ID

hProc=OpenProcess(PROCESS_TERMINATE,TRUE,pId); //获取进程句柄

TerminateProcess(hProc,200); //终止进程

CloseHandle(hProc);

}else{

MessageBox("没发现 OD");

}

（2）程序自身直接退出

1. 窗口类名

窗口类名窗口类名

窗口类名、

、、

、窗口名

窗口名窗口名

窗口名

（1） FindWindow

（2） EnumWindow 函数调用后，系统枚举所有顶级窗口，为每个窗口调用一次回调函数。

在回调函数中用 GetWindowText 得到窗口标题，用 strstr 等函数查找有无 Ollydbg 字

符串。StrStr(大小写敏感，对应的 StrStrI 大小写不敏感)函数返回 str2 第一次出现在

str1 中的位置，如果没有找到，返回 NULL。

（3） GetForeGroundWindow 返回前台窗口（用户当前工作的窗口）。当程序被调试时，调

用这个函数将获得 Ollydbg 的窗口句柄，这样就可以向其发送 WM_CLOSE 消息将

其关闭了。

（1）FindWindow

void CDetectODDlg::OnWndcls()

{

// TODO: Add your control notification handler code here

HWND hWnd;

if(hWnd=::FindWindow("OllyDbg",NULL))

{

MessageBox("发现 OD");

::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

}else{

MessageBox("没发现 OD");

}

（2）EnumWindow

包含头文件：#include "Shlwapi.h"

BOOL CALLBACK EnumWindowsProc(

HWND hwnd, // handle to parent window

LPARAM lParam // application-defined value

)

{

写意互联网 http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

char ch[100];

CString str="Ollydbg";

if(IsWindowVisible(hwnd))

{

::GetWindowText(hwnd,ch,100);

//AfxMessageBox(ch);

if(::StrStrI(ch,str))

{

AfxMessageBox("发现 OD");

return FALSE;

}

return TRUE;

}

void CDetectODDlg::OnEnumwindow()

{

// TODO: Add your control notification handler code here

EnumWindows(EnumWindowsProc,NULL);

AfxMessageBox("枚举窗口结束，未提示发现 OD，则没有 OD");

}

2. 检测调试器进程

枚举进程列表，看是否有调试器进程（OLLYDBG.EXE,windbg.exe 等）。

利用 kernel32!ReadProcessMemory()读取进程内存，然后寻找调试器相关的字符串（如”

OLLYDBG”）以防止逆向分析人员修改调试器的可执行文件名。

需要头文件：#include "tlhelp32.h"

void CDetectODDlg::OnEnumProcess()

{

// TODO: Add your control notification handler code here

HANDLE hwnd;

PROCESSENTRY32 tp32; //结构体

CString str="OLLYDBG.EXE";

BOOL bFindOD=FALSE;

hwnd=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

if(INVALID_HANDLE_VALUE!=hwnd)

{

Process32First(hwnd,&tp32);

do{

if(0==lstrcmp(str,tp32.szExeFile))

{

AfxMessageBox("发现 OD");

写意互联网 http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

bFindOD=TRUE;

break;

}

}while(Process32Next(hwnd,&tp32));

if(!bFindOD)

AfxMessageBox("没有 OD");

}

CloseHandle(hwnd);

}

3. 父进程是否是

父进程是否是父进程是否是

父进程是否是 Explorer

原理：通常进程的父进程是 explorer.exe（双击执行的情况下），否则可能程序被调试。

下面是实现这种检查的一种方法：

1．通过 TEB(TEB.ClientId)或者使用 GetCurrentProcessId()来检索当前进程的 PID

2 ．用 Process32First/Next() 得到所有进程的列表，注意 explorer.exe 的 PID （通过

PROCESSENTRY32.szExeFile）和通过 PROCESSENTRY32.th32ParentProcessID 获得的当前

进程的父进程 PID。Explorer 进程 ID 也可以通过桌面窗口类和名称获得。

3．如果父进程的 PID 不是 explorer.exe，cmd.exe，Services.exe 的 PID，则目标进程很可能

被调试

对策：Olly Advanced 提供的方法是让 Process32Next()总是返回 fail，使进程枚举失效，PID

检查将会被跳过。这些是通过补丁 kernel32!Process32NextW()的入口代码（将 EAX 值设为

0 然后直接返回）实现的。

（1）通过桌面类和名称获得 Explorer 的 PID 源码见附件

DWORD ExplorerID;

::GetWindowThreadProcessId(::FindWindow("Progman",NULL),&ExplorerID);

（2）通过进程列表快照获得 Explorer 的 PID 源码见附件

void CDetectODDlg::OnExplorer()

{

// TODO: Add your control notification handler code here

HANDLE hwnd;

PROCESSENTRY32 tp32; //结构体

CString str="Explorer.EXE";

DWORD ExplorerID;

DWORD SelfID;

DWORD SelfParentID;

SelfID=GetCurrentProcessId();

::GetWindowThreadProcessId(::FindWindow("Progman",NULL),&ExplorerID);

hwnd=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

if(INVALID_HANDLE_VALUE!=hwnd)

{

Process32First(hwnd,&tp32);

do{

评论收藏

内容反馈

wow369

2012-11-22

用不上，没什么用
volye

2012-11-23

资料是不少，但真正用的时候就不容易成功了。

jiutao_tang

粉丝: 201
资源: 14

反调试技术源码与实例汇编版

vc++ 应用源码包_3

vc++ 应用源码包_5

vc++ 应用源码包_1

vc++ 应用源码包_2

vc++ 应用源码包_6

软件加密技术内幕配套光盘（iso版本）

part03_软件加解密技术-软件加密》配套光盘 Delphi 7.0

精易模块[源码] V5.15

Reversing:逆向工程揭密

part01_软件加解密技术-软件加密》配套光盘 Delphi 7.0

自己动手写操作系统(含源代码).part2

单片机开发板 资料大全

part02_软件加解密技术-软件加密》配套光盘 Delphi 7.0

part04_软件加解密技术-软件加密》配套光盘 Delphi 7.0

part05_软件加解密技术-软件加密》配套光盘 Delphi 7.0

冰河的渗透实战笔记-冰河.pdf

大灰狼远控2021最新版，解压密码222

J-LINK V10 V11固件.rar

ISO21434.pdf

Web安全漏洞扫描工具-AWVS14

CTF 竞赛入门指南（ctf-all-in-one）.pdf

Web中间件常见漏洞总结.pdf

stm32f103 adc采样+dma传输+fft处理 频率计_fft处理_stm32_ADCFFT_频率计_ADC采样_

jts-1.14.zip

CobaltStrike4.4.zip

cisp-pte渗透测试资源下载 （考试环境+题库）

goby2021红队专版，1.8.255

RK3568硬件设计资料.zip_C#

DEAP2.1.zip_DEA2.1软件下载_dea 2.1软件下载_deap2.1_deap2.1基础模型_dea模型

最新资源

单片机开发板资料大全

stm32f103 adc采样+dma传输+fft处理频率计_fft处理_stm32_ADCFFT_频率计_ADC采样_

cisp-pte渗透测试资源下载（考试环境+题库）