返回
反调试技巧总结-原理和实现

反调试技巧总结-原理和实现

ID:30035082

大小:27.05 KB

页数:33页

时间:2018-12-26

反调试技巧总结-原理和实现_第1页
反调试技巧总结-原理和实现_第2页
反调试技巧总结-原理和实现_第3页
反调试技巧总结-原理和实现_第4页
反调试技巧总结-原理和实现_第5页
资源描述:

《反调试技巧总结-原理和实现》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划反调试技巧总结-原理和实现  反调试技巧总结-原理和实现  PostedonXX-01-1615:24!ep.¢%阅读(2027)评论(0)编辑收藏引用所属分类:  2、我并没有总结完全,上面的部分分类目前还只有很少的函数甚至空白,等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识,丰富的想像力,灵活的运用,就会创造出更多的属于自己的反调试。而最强的反调试,通常都是自己创造的,而不是来自别人的代码。  二、查找-通用调试器(FD_)

2、  函数列表如下,后面会依次说明,需事先说明的是,这些反调试手段多数已家喻户晓,目前有效的不多,多数已可以通过OD的插件顺利通过,如果你想验证它们的有效性,请关闭OD的所有反反调试插件:  boolFD_IsDebuggerPresent();  boolFD_PEB_BeingDebuggedFlag();  boolFD_PEB_NtGlobalFlags();  boolFD_Heap_HeapFlags();  boolFD_Heap_ForceFlags();  boolFD_Heap_Tail();  boolFD_CheckRemot

3、eDebuggerPresent();目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  boolFD_NtQueryInfoProc_DbgPort();  boolFD_NtQueryInfoProc_DbgObjHandle();  boolFD_NtQueryInfoProc_DbgFlags();  boolFD_NtQueryInfoProc_Sys

4、KrlDbgInfo();  boolFD_SeDebugPrivilege();  boolFD_Parent_Process();  boolFD_DebugObject_NtQueryObject();  boolFD_Find_Debugger_Window();  boolFD_Find_Debugger_Process();  boolFD_Find_Device_Driver();  boolFD_Exception_Closehandle();  boolFD_Exception_Int3();  boolFD_Exception_

5、Popf();  boolFD_OutputDebugString();  boolFD_TEB_check_in_Vista();  boolFD_check_StartupInfo();  boolFD_Parent_Process1();  boolFD_Exception_Instruction_count();  boolFD_INT_2d();  FD_IsDebuggerPresent()目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发

6、展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  对调试器来说,IsDebuggerPresent是臭名昭著的恶意函数。不多说了,它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。  //checksoftbreak  if(*(BYTE*)Func_addr==0xcc)  returntrue;  //checkhook  if(*(BYTE*)Func_addr!=0x64)  r

7、eturntrue;  FD_PEB_BeingDebuggedFlag  我们知道,如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。  __asm  {  moveax,fs:[30h];EAX=  inceax  inceax  moveax,[eax]  andeax,0xff;AL=  testeax,eax  jnert_label目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业

8、水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。