C & C
Windows 下常见的反调试方法
稍稍总结一下在Crack或Rervese中比较常见的一些反调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。
①最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。
复制代码
if (IsDebuggerPresent()) //API接口
{
AfxMessageBox(L"检测到调试器");
}
else
{
AfxMessageBox(L"没有检测到调试器");
}
复制代码
②自己用汇编实现实现IsDebuggerPresent,如何获得PEB呢?在应用层,fs寄存器是指向当前线程的TEB结构的,而在内核层,fs寄存器指向PCR(Processor Control Region)的内存,其数据类型是KPCR。所以可以通过当前线程的TEB获得PEB,再取出BeingDebugged的值。
mov eax, fs:18h // TEB Self指针
mov eax, [eax+30h] // PEB
movzx eax, [eax+2] // PEB->BeingDebugged
复制代码
_asm
{
push eax; //TEB
mov eax, fs:[0x30]; // PEB
movzx eax, byte ptr[eax + 2]; //BeingDebugged
mov dword ptr[Value], eax; //取值
pop eax;
}
if (Value) //判断
{
AfxMessageBox(L"检测到调试器");
}
else
{
AfxMessageBox(L"没有检测到调试器");
}
复制代码
讲个题外话,也是关于FS寄存器的前两天有人是问了我一个问题,说是怎么让dll只被特定的进程加载,了解fs寄存器之后就很简单了,在dll加载的DllMain()函数中对加载的当前进程进行判断,看是否是自己的目标进程,如果不是,就拒绝被加载。下面是一段测试代码,可以获得当前进程的进程名。
复制代码
#include "windows.h" //这段测试代码可以获得当前进程名
#include "stdio.h"
int main(void)
{
LPSTR name;
__asm{
mov eax,fs:[0x18] //得到Teb 当线程运行于用户空间时段寄存器FS指向当前线程的TEB,FS:[0x18] 就是指在 //Self,其内容就是TEB的起点
mov eax,[eax+0x30] //Teb偏移0x30处指向Peb
