各种反调试技术原理与实例VC版.pdf资源-CSDN文库

4星 · 超过85%的资源需积分: 9 128 浏览量 2010-12-15 19:13:10 上传评论收藏 405KB PDF 举报

资源推荐

资源详情

资源评论

http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

反调试技术...............................................................................................................................2

发现 OD 的处理...............................................................................................................2

1. 窗口类名、窗口名...................................................................................................3

2. 检测调试器进程.......................................................................................................4

3. 父进程是否是 Explorer............................................................................................5

4. RDTSC/ GetTickCount 时间敏感程序段 ................................................................6

5. StartupInfo 结构........................................................................................................7

6. BeingDebugged.........................................................................................................8

7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags..........................................9

8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess()........12

9. SetUnhandledExceptionFilter/ Debugger Interrupts...............................................14

10. Trap Flag 单步标志异常 ....................................................................................16

11. SeDebugPrivilege 进程权限..............................................................................16

12. DebugObject: NtQueryObject()..........................................................................17

13. OllyDbg：Guard Pages ......................................................................................20

14. Software Breakpoint Detection...........................................................................22

15. Hardware Breakpoints Detection ........................................................................24

16. PatchingDetection CodeChecksumCalculation 补丁检测，代码检验和..........25

17. block input 封锁键盘、鼠标输入......................................................................26

18. EnableWindow 禁用窗口 ...................................................................................27

19. ThreadHideFromDebugger .................................................................................27

20. Disabling Breakpoints 禁用硬件断点 ................................................................29

21. OllyDbg:OutputDebugString() Format String Bug.............................................30

22. TLS Callbacks.....................................................................................................30

反反调试技术.................................................................................................................35

http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

反调试技术

反调试技术反调试技术

反调试技术 VC 版

版版

版

唐久涛

看雪 ID：tangjiutao

本人空间：http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

声明：这篇文章是本人学习的总结，理论部分参考了《脱壳的艺术》、《加密与解密》以及本人从网络上收

集的资料，在此向原作者致敬。本人的贡献在于根据个人理解对各种反调试技术进行了汇总和高度归纳，

并提供了本人创作的各种反调试实例及源代码。本人于 09 年 9 月份开始学习软件逆向工程的相关知识，在

学习过程中得到大量网友的热心帮助，在此向各位致以诚挚谢意。希望本人的这些工作能够对各位有所帮

助，浅陋之处，莫要见笑。各种形式的转载都必须保留作者信息及本声明。

由于本人入门较晚、能力有限，部分方法尚未实现，望高手不吝赐教。实现了的方法大都附有实例程序。

很多方法对于修改版的 OD 已经失效，请用原版 OD 进行测试。

发现

发现发现

发现 OD 的处理

的处理的处理

的处理

一、如何获取 OD 窗口的句柄

1.已经获取了窗口类名或标题：FindWindow 函数

2.没有获取窗口类名或标题

没有获取窗口类名或标题没有获取窗口类名或标题

没有获取窗口类名或标题：

：：

：GetForeGroundWindow 返回前台窗口

返回前台窗口返回前台窗口

返回前台窗口，

，，

，这里就是

这里就是这里就是

这里就是 OD 的窗口

的窗口的窗口

的窗口

句柄

句柄句柄

句柄了

了了

了。

。。

。注意这种方法更为重要

注意这种方法更为重要注意这种方法更为重要

注意这种方法更为重要，

，，

，因为大多数情况下不会知道

因为大多数情况下不会知道因为大多数情况下不会知道

因为大多数情况下不会知道 OD 的窗口类名

的窗口类名的窗口类名

的窗口类名。

。。

。

invoke IsDebuggerPresent

.if eax

invoke GetForegroundWindow ;获得的是 OD 的窗口句柄

invoke SendMessage,eax,WM_CLOSE,NULL,NULL

.endif

二、获取 OD 窗口句柄后的处理

（1）向窗口发送 WM_CLOSE 消息

void CDetectODDlg::OnWndcls()

{

// TODO: Add your control notification handler code here

HWND hWnd;

if(hWnd=::FindWindow("OllyDbg",NULL))

{

MessageBox("发现 OD");

::SendMessage(hWnd,WM_CLOSE,NULL,NULL);

}else{

MessageBox("没发现 OD");

}

（2）使 OD 窗口不可用

HWND hd_od=FindWindow("ollydbg",NULL);

SetWindowLong(hd_od,GWL_STYLE,WS_DISABLED);

（3）终止相关进程，根据窗口句柄获取进程 ID，根据进程 ID 获取进程句柄，

HWND hWnd;

HANDLE hProc;

DWORD pId;

http://ucooper.com

写意互联网，关注搜索引擎技术，涉猎搜索引擎优化、软件破解、PHP 网站建设、Wordpress 应用等

bFindOD=TRUE;

break;

}

}while(Process32Next(hwnd,&tp32));

if(!bFindOD)

AfxMessageBox("没有 OD");

}

CloseHandle(hwnd);

}

3. 父进程是否是

父进程是否是父进程是否是

父进程是否是 Explorer

原理：通常进程的父进程是 explorer.exe（双击执行的情况下），否则可能程序被调试。

下面是实现这种检查的一种方法：

1．通过 TEB(TEB.ClientId)或者使用 GetCurrentProcessId()来检索当前进程的 PID

2 ．用 Process32First/Next() 得到所有进程的列表，注意 explorer.exe 的 PID （通过

PROCESSENTRY32.szExeFile）和通过 PROCESSENTRY32.th32ParentProcessID 获得的当前

进程的父进程 PID。Explorer 进程 ID 也可以通过桌面窗口类和名称获得。

3．如果父进程的 PID 不是 explorer.exe，cmd.exe，Services.exe 的 PID，则目标进程很可能

被调试

对策：Olly Advanced 提供的方法是让 Process32Next()总是返回 fail，使进程枚举失效，PID

检查将会被跳过。这些是通过补丁 kernel32!Process32NextW()的入口代码（将 EAX 值设为

0 然后直接返回）实现的。

（1）通过桌面类和名称获得 Explorer 的 PID 源码见附件

DWORD ExplorerID;

::GetWindowThreadProcessId(::FindWindow("Progman",NULL),&ExplorerID);

（2）通过进程列表快照获得 Explorer 的 PID 源码见附件

void CDetectODDlg::OnExplorer()

{

// TODO: Add your control notification handler code here

HANDLE hwnd;

PROCESSENTRY32 tp32; //结构体

CString str="Explorer.EXE";

DWORD ExplorerID;

DWORD SelfID;

DWORD SelfParentID;

SelfID=GetCurrentProcessId();

::GetWindowThreadProcessId(::FindWindow("Progman",NULL),&ExplorerID);

hwnd=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

if(INVALID_HANDLE_VALUE!=hwnd)

{

Process32First(hwnd,&tp32);

do{

剩余35页未读，继续阅读

评论收藏

内容反馈

zhangsan_123_abc

2013-02-21

呵呵....看着好像挺牛似的！
imliuxin2

2014-09-27

好全啊！几乎包括ring3所有的方面

nono507

粉丝: 10
资源: 11

各种反调试技术原理与实例VC版.pdf

各种反调试技术原理与实例 VC版

各种反调试技术原理与实例VC版

各种反调试技术原理与实例

Debug调试器的工作原理

Fiddler调试权威指南 PDF电子书下载 带书签目录 完整版

VC教程：各种反调试技术原理与实例.rar

各种反调试技术原理与实例VC版_fallpx8_反调试_Vc_

单片机原理及应用课程标准.pdf

精通DirectX.3D图形与动画程序设计.pdf

单片机开发板 资料大全

软件加密技术内幕配套光盘（iso版本）

Altera FPGA CPLD设计基础篇part09(pdf, 清晰）

android开发资料大全

CLR.via.C#.(中文第3版)(自制详细书签)

Altera FPGA CPLD设计基础篇part03(pdf, 清晰）

Altera FPGA CPLD设计基础篇part04(pdf, 清晰）

Altera FPGA CPLD设计基础篇part05(pdf, 清晰）

Altera FPGA CPLD设计基础篇part06(pdf, 清晰）

第十五届蓝桥杯大赛软件赛省赛C++B组题目

第十五届蓝桥杯大赛软件赛省赛-C++A组题目

C/C++中文参考手册离线最新版

代码随想录-八股文 pdf

编译器（gcc、g++）

Qt5.9 C++开发指南.pdf 及示例源码

Qt （高仿Visio）流程图组件开发，源码分享

mingw-w64-install.exe

Qt、QCustomPlot、实时波形绘制、实时曲线绘制

C/C++中文帮助文档

最新资源

Fiddler调试权威指南 PDF电子书下载带书签目录完整版

单片机开发板资料大全