调试技巧总结-原理和实现
------------------------------------------------------------------------------------------------------- 2008.8.7 shellwolf 一、 前言
前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要反下就知道了。我想代码其实意义不是很大,重要的是理解和运用。 做个简单的总结,说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。
部分代码和参考资料来源: 1、<<脱壳的艺术>> hawking
2、<
4、<<软件加密技术内幕>> 看雪学院
5、<> Peter Ferrie
我将反调试技巧按行为分为两大类,一类为检测,另一类为攻击,每类中按操作对象又分了五个小类:
1、 通用调试器 包括所有调试器的通用检测方法
2、 特定调试器 包括OD、IDA等调试器,也包括相关插件,也包括虚拟环境 3、 断点 包括内存断点、普通断点、硬件断点检测 4、 单步和跟踪 主要针对单步跟踪调试 5、 补丁 包括文件补丁和内存补丁 反调试函数前缀 检测 攻击
通用调试器 FD_ AD_ 特定调试器 FS_ AS_ 断点 FB_ AB_
单步和跟踪 FT_ AT_ 补丁 FP_ AP_
声明:
1、本文多数都是摘录和翻译,我只是重新组合并翻译,不会有人告侵权吧。里面多是按自己的理解来说明,可能有理解错误,或有更好的实现方法,希望大家帮忙指出错误。
2、我并没有总结完全,上面的部分分类目前还只有很少的函数甚至空白,等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识,丰富的想像力,灵活的运用,就会创造出更多的属于自己的反调试。而最强的反调试,通常都是自己创造的,而不是来自别人的代码。
二、 查找-通用调试器(FD_)
函数列表如下,后面会依次说明,需事先说明的是,这些反调试手段多数已家喻户晓,目前有效的不多,多数已可以通过OD的插件顺利通过,如果你想验证它们的有效性,请关闭OD的所有反反调试插件:
bool FD_IsDebuggerPresent();
bool FD_PEB_BeingDebuggedFlag(); bool FD_PEB_NtGlobalFlags(); bool FD_Heap_HeapFlags(); bool FD_Heap_ForceFlags(); bool FD_Heap_Tail();
bool FD_CheckRemoteDebuggerPresent(); bool FD_NtQueryInfoProc_DbgPort();
bool FD_NtQueryInfoProc_DbgObjHandle(); bool FD_NtQueryInfoProc_DbgFlags();
bool FD_NtQueryInfoProc_SysKrlDbgInfo(); bool FD_SeDebugPrivilege(); bool FD_Parent_Process();
bool FD_DebugObject_NtQueryObject(); bool FD_Find_Debugger_Window(); bool FD_Find_Debugger_Process(); bool FD_Find_Device_Driver(); bool FD_Exception_Closehandle(); bool FD_Exception_Int3(); bool FD_Exception_Popf(); bool FD_OutputDebugString(); bool FD_TEB_check_in_Vista(); bool FD_check_StartupInfo(); bool FD_Parent_Process1();
bool FD_Exception_Instruction_count(); bool FD_INT_2d();
2.1 FD_IsDebuggerPresent()
对调试器来说,IsDebuggerPresent是臭名昭著的恶意函数。不多说了,它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。 //check softbreak
if(*(BYTE*)Func_addr==0xcc) return true; //check hook
if(*(BYTE*)Func_addr!=0x64) return true;
2.2 FD_PEB_BeingDebuggedFlag
我们知道,如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。 __asm {
mov eax, fs:[30h] ;EAX = TEB.ProcessEnvironmentBlock inc eax inc eax
mov eax, [eax]
and eax,0x000000ff ;AL = PEB.BeingDebugged test eax, eax jne rt_label jmp rf_label }
2.3 FD_PEB_NtGlobalFlags
PEB中还有其它FLAG表明了调试器的存在,如NtGlobalFlags。它位于PEB环境中偏移为0x68的位置,默认情况下该值为0,在win2k和其后的windows平台下,如果在调试中,它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠(如在winnt中),但这种方法却也很常用。这个标志由下面几个标志组成: ***_HEAP_ENABLE_TAIL_CHECK (0x10) ***_HEAP_ENABLE_FREE_CHECK (0x20) ***_HEAP_VALIDATE_PARAMETERS (0x40)
检测NtGlobalFlags的方法如下,这个方法在ExeCryptor中使用过。 __asm {
mov eax, fs:[30h] mov eax, [eax+68h] and eax, 0x70 test eax, eax jne rt_label jmp rf_label }
2.4 FD_Heap_HeapFlags()
同样,调试器也会在堆中留下痕迹,你可以使用kernel32_GetProcessHeap()函数,如果你不希望使用api函数(以免暴露),则可以直接在PEB中寻找。同样的,使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠,但却很常用。 这个域由一组标志组成,正常情况下,该值应为2。 __asm {
mov eax, fs:[30h]
mov eax, [eax+18h] ;PEB.ProcessHeap
mov eax, [eax+0ch] ;PEB.ProcessHeap.Flags cmp eax, 2 jne rt_label jmp rf_label }
2.5 FD_Heap_ForceFlags
进程堆里另外一个标志,ForceFlags,它也由一组标志组成,正常情况下,该值应为0。 __asm
{
mov eax, fs:[30h]
mov eax, [eax+18h] ;PEB.ProcessHeap
mov eax, [eax+10h] ;PEB.ProcessHeap.ForceFlags test eax, eax jne rt_label jmp rf_label }
2.6 FD_Heap_Tail
如果处于调试中,堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED 将会在分配的堆块尾部生成两个0xABABABAB。如果需要额外的字节来填充堆尾,HEAP_FREE_CHECKING_ENABLED标志则会生成0xFEEEFEEE。
据说Themida使用过这个反调试 __asm {
mov eax, buff ;get unused_bytes
movzx ecx, byte ptr [eax-2]
movzx edx, word ptr [eax-8] ;size sub eax, ecx
lea edi, [edx*8+eax] mov al, 0abh mov cl, 8 repe sca** je rt_label jmp rf_label }
2.7 FD_CheckRemoteDebuggerPresent
CheckRemoteDebuggerPresent是另一个检测调试的api,只是可惜它似乎只能在winxp sp1版本以后使用。它主要是用来查询一个在winnt时就有的一个数值,其内部会调用NtQueryInformationProcess(),我是这样实现的: FARPROC Func_addr ;
HMODULE hModule = GetModuleHandle(\if (hModule==INVALID_HANDLE_VALUE) return false;
(FARPROC&) Func_addr =GetProcAddress(hModule, \if (Func_addr != NULL) {
__asm {
push eax;
push esp;
push 0xffffffff; call Func_addr; test eax,eax; je rf_label; pop eax; test eax,eax je rf_label; jmp rt_label; } }
2.8 FD_NtQueryInfoProc_DbgPort
使用ntdll_NtQueryInformationProcess()来查询ProcessDebugPort可以用来检测反调试。如果进程被调试,其返回值应为0xffffffff。
下面的代码应该是从pediy里copy过来的,时间太长,不记得是哪位兄弟的代码了。 HMODULE hModule = GetModuleHandle(\
ZW_QUERY_INFORMATION_PROCESS ZwQueryInformationProcess; ZwQueryInformationProcess = (ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule, \
if (ZwQueryInformationProcess == NULL) return false;
PROCESS_DEBUG_PORT_INFO ProcessInfo;
if (STATUS_SUCCESS != ZwQueryInformationProcess(GetCurrentProcess( ), ProcessDebugPort, &ProcessInfo, sizeof(ProcessInfo), NULL)) return false; else
if(ProcessInfo.DebugPort) return true; else
return false;
2.9 FD_NtQueryInfoProc_DbgObjHandle
在winxp中引入了\当一个调试活动开始,一个\被创建,同也相应产生了一个句柄。使用为公开的ProcessDebugObjectHandle类,可以查询这个句柄的数值。
代码可能还是从pediy里复制的,不记得了。
HMODULE hModule = GetModuleHandle(\
ZW_QUERY_INFORMATION_PROCESS ZwQueryInformationProcess; ZwQueryInformationProcess = (ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule, \
if (ZwQueryInformationProcess == NULL) return false;
_PROCESS_DEBUG_OBJECTHANDLE_INFO ProcessInfo;