2. 程式人生 > >檢查進程是否被調試

檢查進程是否被調試

阿新 發佈:2018-10-08
關閉進程 validate tla 獲取 運行 win32 span typedef pan

轉自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html

在調試一些病毒程序的時候,可能會碰到一些反調試技術,也就是說,被調試的程序可以檢測到自己是否被調試器附加了,如果探知自己正在被調試,肯定是有人試圖反匯編啦之類的方法破解自己。為了了解如何破解反調試技術,首先我們來看看反調試技術。 一、Windows API方法 Win32提供了兩個API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用來檢測當前進程是否正在被調試,以IsDebuggerPresent函數為例,例子如下:
BOOL ret = IsDebuggerPresent(); printf("ret = %d\n", ret); 破解方法很簡單,就是在系統裏將這兩個函數hook掉,讓這兩個函數一直返回false就可以了,網上有很多做hook API工作的工具,也有很多工具源代碼是開放的,所以這裏就不細談了。 二、查詢進程PEB的BeingDebugged標誌位 當進程被調試器所附加的時候,操作系統會自動設置這個標誌位,因此在程序裏定期查詢這個標誌位就可以了,例子如下: bool PebIsDebuggedApproach() { char result = 0; __asm
{ // 進程的PEB地址放在fs這個寄存器位置上 mov eax, fs:[30h] // 查詢BeingDebugged標誌位 mov al, BYTE PTR [eax + 2] mov result, al } return result != 0; } 三、查詢進程PEB的NtGlobal標誌位 跟第二個方法一樣,當進程被調試的時候,操作系統除了修改BeingDebugged這個標誌位以外,還會修改其他幾個地方,其中NtDll中一些控制堆(Heap)操作的函數的標誌位就會被修改,因此也可以查詢這個標誌位,例子如下:
bool PebNtGlobalFlagsApproach() { int result = 0; __asm { // 進程的PEB mov eax, fs:[30h] // 控制堆操作函數的工作方式的標誌位 mov eax, [eax + 68h] // 操作系統會加上這些標誌位FLG_HEAP_ENABLE_TAIL_CHECK, // FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS, // 它們的並集就是x70 // // 下面的代碼相當於C/C++的 // eax = eax & 0x70 and eax, 0x70 mov result, eax } return result != 0; } 四、查詢進程堆的一些標誌位 這個方法是第三個方法的變種,只要進程被調試,進程在堆上分配的內存,在分配 的堆的頭信息裏,ForceFlags這個標誌位會被修改,因此可以通過判斷這個標誌位的方式來反調試。因為進程可以有很多的堆,因此只要檢查任意一個堆 的頭信息就可以了,所以這個方法貌似很強大,例子如下: bool HeapFlagsApproach() { int result = 0; __asm { // 進程的PEB mov eax, fs:[30h] // 進程的堆,我們隨便訪問了一個堆,下面是默認的堆 mov eax, [eax + 18h] // 檢查ForceFlag標誌位,在沒有被調試的情況下應該是 mov eax, [eax + 10h] mov result, eax } return result != 0; } 五、使用NtQueryInformationProcess函數 NtQueryInformationProcess函數是一個未公開的 API,它的第二個參數可以用來查詢進程的調試端口。如果進程被調試,那麽返回的端口值會是-1,否則就是其他的值。由於這個函數是一個未公開的函數,因 此需要使用LoadLibrary和GetProceAddress的方法獲取調用地址,示例代碼如下: // 聲明一個函數指針。 typedef NTSTATUS (WINAPI *NtQueryInformationProcessPtr)( HANDLE processHandle, PROCESSINFOCLASS processInformationClass, PVOID processInformation, ULONG processInformationLength, PULONG returnLength); bool NtQueryInformationProcessApproach() { int debugPort = 0; HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll ")); NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess"); if ( NtQueryInformationProcess(GetCurrentProcess(), (PROCESSINFOCLASS)7, &debugPort, sizeof(debugPort), NULL) ) printf("[ERROR NtQueryInformationProcessApproach] NtQueryInformationProcess failed\n"); else return debugPort == -1; return false; } 六、NtSetInformationThread方法 這個也是使用Windows的一個未公開函數的方法,你可以在當前線程裏調用 NtSetInformationThread,調用這個函數時,如果在第二個參數裏指定0x11這個值(意思是 ThreadHideFromDebugger),等於告訴操作系統,將所有附加的調試器統統取消掉。示例代碼: // 聲明一個函數指針。 typedef NTSTATUS (*NtSetInformationThreadPtr)(HANDLE threadHandle, THREADINFOCLASS threadInformationClass, PVOID threadInformation, ULONG threadInformationLength); void NtSetInformationThreadApproach() { HMODULE hModule = LoadLibrary(TEXT("ntdll.dll")); NtSetInformationThreadPtr NtSetInformationThread = (NtSetInformationThreadPtr)GetProcAddress(hModule, "NtSetInformationThread"); NtSetInformationThread(GetCurrentThread(), (THREADINFOCLASS)0x11, 0, 0); } 七、觸發異常的方法 這個技術的原理是,首先,進程使用 SetUnhandledExceptionFilter函數註冊一個未處理異常處理函數A,如果進程沒有被調試的話,那麽觸發一個未處理異常,會導致操 作系統將控制權交給先前註冊的函數A;而如果進程被調試的話,那麽這個未處理異常會被調試器捕捉,這樣我們的函數A就沒有機會運行了。 這裏有一個技巧,就是觸發未處理異常的時候,如果跳轉回原來代碼繼續執行,而 不是讓操作系統關閉進程。方案是在函數A裏修改eip的值,因為在函數A的參數_EXCEPTION_POINTERS裏,會保存當時觸發異常的指令地 址,所以在函數A裏根據這個指令地址修改寄存器eip的值就可以了,示例代碼如下: // 進程要註冊的未處理異常處理程序A LONG WINAPI MyUnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei) { SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER) pei->ContextRecord->Eax); // 修改寄存器eip的值 pei->ContextRecord->Eip += 2; // 告訴操作系統,繼續執行進程剩余的指令(指令保存在eip裏),而不是關閉進程 return EXCEPTION_CONTINUE_EXECUTION; } bool UnhandledExceptionFilterApproach() { SetUnhandledExceptionFilter(MyUnhandledExceptionFilter); __asm { // 將eax清零 xor eax, eax // 觸發一個除零異常 div eax } return false; } 八、調用DeleteFiber函數 如果給DeleteFiber函數傳遞一個無效的參數的 話,DeleteFiber函數除了會拋出一個異常以外,還是將進程的LastError值設置為具體出錯原因的代號。然而,如果進程正在被調試的話,這 個LastError值會被修改,因此如果調試器繞過了第七步裏講的反調試技術的話,我們還可以通過驗證LastError值是不是被修改過來檢測調試器 的存在,示例代碼: bool DeleteFiberApproach() { char fib[1024] = {0}; // 會拋出一個異常並被調試器捕獲 DeleteFiber(fib); // 0x57的意思是ERROR_INVALID_PARAMETER return (GetLastError() != 0x57); }

檢查進程是否被調試

相關推薦

檢查是否調

關閉進程 validate tla 獲取 運行 win32 span typedef pan 轉自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在調試一些病毒程序的時候,可能會

linux strace-跟蹤的系統調用或是信號產生情況,lstrace-跟蹤己醜年調用庫函數情況,跟蹤調命令

如何獲取 shel ++ 快速 靜態 exec 疑難雜癥 reat 案例 本工具可以用來做大多數排除,比如mount一個NFS,很慢,找不出原因,我們可以使用strace命令來跟中mount這個經常所有的調用過程。 strace 命令是一種強大的工具,它能夠顯示所有由

9 異常處理 操作系統 隊列+生產消費者模型 同步 回調函數

共享數據 word import 可選 想要 線程組 show 內存 強制 異常處理 異常就是程序運行時發生錯誤的信號,在python中,錯誤觸發的異常如下 異常的種類: AttributeError 試圖訪問一個對象沒有的樹形,比如foo.x,但是foo

數據庫mysqld屢次殺,真的只是MySQL的問題?

問題 .com 系統 內存大小 麻煩 啟動 優化 inf httpd 曾經在我的博客服務器上發現過這樣一個問題,每隔幾天mysql服務進程就會莫名其妙的消失掉。這個問題持續時間非常長,前前後後花了我大半個月的時間,因為每次出現問題都是正常運行幾天後。

第一次作業:Linux 2.6.32的模型與調度器分析

範圍 喚醒 最大 被調用 test ini writeback uid endif 1.前言 本文分析的是Linux 2.6.32版的進程模型以及調度器分析。在線查看 源碼下載 本文主要討論以下幾個問題: 什麽是進程?進程是如何產生的?進程都有那些? 在操作系統中,

40 池 回調函數 線 thrrading模塊

style alt 列表 過多 all 同步請求 nag pool cpu調度 異步的 apply_async# 1.如果是異步的提交任務,那麽任務提交之後進程池和主進程也異步了, #主進程不會自動等待進程池中的任務執行完畢# 2.如果需要主進程等待,需要p.join

MySQL,nginx,tomcat檢查是否存在以及啟動

返回 date usr local 測試 mysql tmp 過濾 日誌輸出 vi mysql_mon.sh#!/bin/bashif [ netstat -tlunp|grep mysql|wc -l -gt 0 ] #過濾進程名為mysql,轉成數字 thenec

十一、pycharm 遠代碼調

export 存在 安全組 三方登錄 需要 ssh服務 本地數據庫 cer python3 ---恢復內容開始--- 十一、pycharm 遠程代碼調試 第三方登錄和支付,都需要有服務器才行(回調url),我們可以用pycharm去遠程調試服務器代碼 服務器環境搭建 以全

phpstorm+xdebug+dbgp遠多用戶調

pytho 地址 pat enable text 多用戶 ffffff 版本 php腳本 一、服務端配置 php-xdebug配置: [xdebug] zend_extension=/usr/local/php/lib/php/extensions/no-debug-zt

gdb如何調調任務的特定函數

intel 取代 復雜 spa mac 跳轉 恢復 port org 一、gdb中函數調用在gdb中,可以通過call function(args……)來調用一個函數,當然也可以使用print之類的函數來間接的調用一個函數,但是不管如何,它們最終

使用pycharm進行遠開發部署調設置 與 遠部署調是否必須使用遠主機的解釋器?

項目文件 next pin 連接 必須 不同步 com ppi virt 遠程開發部署調試目的: 配置pycharm遠程部署調試主要用於本地代碼與遠程服務器上的代碼進行同步,使得本地代碼經過修改後,可以很容易的同步到遠程服務器上。同時設置pycharm的解釋器為遠程服務器

gdb調多線程序

mage 支持 nbsp rgs 提示 功能 網絡 網絡編程 指令 一、調試的指令   1.list命令     list  linenum  顯示程序第linenum行的周圍的程序     list  function  顯示程序名為function的函數的源程序    

Linux下間Socket通信調debug方法

linux python netcat unix socket 在一個復雜的軟件系統中,往往需要有各個組件之間的數據傳遞,在組件間數據傳遞過程中,又會不可避免的出現一些小問題,這時候我們就需要來進行debug了,由於最近的一個系統使用到了collectd和rrdcached來收集

【自動化__GUI自動化】__java__案例__java應用程序計算器__類直接調用__1個

light 被調用 brush pri 計算 bsp 進程 void blog 一、代碼如下 package www.woniu.gui.one; public class Test__Two { public static void main(String

GDB常用調命令以及多多線調

star 調用 次循環 rgs 靈活 機器碼 cor trac 讓我 轉載自:http://blog.csdn.net/freeelinux/article/details/53700266 一:普通命令 1.list命令 list linenum 顯示程序第

使用GDB調

pen style 繼續 follow exe lin c函數 exec color 如果一個進程fork了多個進程,這時使用GBD工具對程序進行調試會如何呢? 實際上,GDB 沒有對多進程程序調試提供直接支持。例如,使用GDB調試某個進程,如果該進程fork了子進程,GD

Visual Studio Code調electron主

href tro tle ram 發布 谷歌 所有 ati 程序 Visual Studio Code調試electron主進程 作者: jekkay 分類: electron 發布時間: 2017-06-11 14:56 一·概述 此文原出自【水滴石】

使用 GDB 調程序

tin 出現 二進制 nom 主題 rtu 錯誤 virtual pad 使用 GDB 調試多進程程序 來源 https://www.ibm.com/developerworks/cn/linux/l-cn-gdbmp/index.html GDB 是 linux 系統

Visual Studio 2017 調器的工作(msvsmon.exe)意外退出 調將終止

項目 issue 調試器 關閉 HP process The .exe 信息 原文:Visual Studio 2017 調試器的工作進程(msvsmon.exe)意外退出 調試將終止開發環境: Windows 10 in Parallels Desktop Vis

開啟Java遠調

end enter sun pen avi net gravity auth address 在JDK啟動時,加入 -Xrunjdwp:transport=dt_socket,address=9900,server=y,suspend=n -Dcom.sun.manag