反调试——1——开始反调试 前面的文章可以算是反调试的一些铺垫了,现在算是正式开始。 调试器的工作流程 调试器调试分两种情况,一种是附加进程,一种是通过可执行程序来创建进程调试。 创建进程: 通过CreateProcess并设置为DEBUG_PROCESS模式来启动。 BOOL CreateProc ...
转载
2021-08-28 19:21:00
805阅读
2评论
文章目录程序分析分析过程1.找OEP2.反反调试3.解密IAT4.OD脚本还原IAT5.内存重建IAT表6.Dump文件,修复 程序分析查壳:PESpin壳,连接器版本也没有分析过程1.找OEP用OD载入文件,F7单步走几步就可以看到pushad,用ESP定律 程序直接运行完毕,并没有断下来,这说明这个壳有清除硬件断点的反调试 得换条路,下API断点,常见的入口API VB程序:GetStart
转载
2024-01-10 16:11:30
88阅读
反调试——4——硬件断点反调试 首先需要明白什么是硬件断点,硬件断点其实是通过一个调试寄存器来实现的,这个调试寄存器是CPU上的东西,就是前面截图的这个东西,叫做Debug Registers,在intel手册卷3 17章第二节里面)。 DR0-DR3为设置断点的地址,DR4和DR5为保留内容。DR ...
转载
2021-10-01 02:18:00
1052阅读
2评论
反调试——3——反调试手段 反调试的方法有非常非常多,这里介绍一些比较常见的。 通过CloseHandle() 通过CloseHandle来试图关闭一个不存在的句柄,如果程序处于调试状态就会引发异常,否则没有任何反应。 这种机制在User下看起来就是调用一个CloseHandle,但是其实它的内部逻 ...
转载
2021-08-30 17:43:00
673阅读
2评论
反调试——6——附加进程反调试 经常在给调试器附加进程时进程直接崩溃了,比如说用比较常见的ollydbg没有加任何处理来附加DNF就会直接崩溃。 附加调试流程 debugger(调试器)在调用DebugActiveProcess来附加进程后,进程中有多少个线程,调试器就会发送多少个CREATE_TH ...
转载
2021-10-09 21:31:00
1259阅读
2评论
一、x86下IsDebuggerPresent反调试以及反反调试
1、反调试
进程结构体PEB偏移0x2处是一个标志位,当当前程序在调试状态下时,这个标志位就会被改变:
nt!_PEB
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
+0x002 BeingDebugged : UCha
原创
2023-06-28 13:04:31
1596阅读
网络安全——安卓逆向-反调试与绕过反调试(一)1024节日快乐!!前言在谈到网络安全时,其中反调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般与加壳结合使用。 反调试可以分为两类:一类是检测,另一类是攻击,前者是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些“反”的举措,比如退出等等,后者是采用攻击的方法,就是想办法让调试器不能正常工
转载
2023-07-24 22:00:47
32阅读
一、前言在前一篇文章中详细介绍了Android现阶段可以采用的几种反调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决反调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段反调试策略主要包括以下几种方式:第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)!第二、签名校
反调试1.自己ptrace自己代码非常简单,在so中加上这行代码即可:ptrace(PTRACE_TRACEME, 0, 0, 0); 其中PTRACE_TRACEME代表:本进程被其父进程所跟踪。 一个进程只能被ptrace一次,通常在调试的时候都会attach被调试应用的进程,如果我们先占坑,父进程attach自己,那么其他的附加调试就会失败。2.检测Tracerpid的值在自己的应
转载
2023-07-26 19:42:15
264阅读
一、Android多进程反调试的原理代码当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种反调试的手法,效果还是不错的。/******************************************************
// 附加目标进程失败,说明目标进程已经被调试
if (ptrace(PTRACE_TRAC
转载
2024-01-24 19:09:55
21阅读
0x00 前言 Android应用的加固和对抗不断升级,单纯的静态加固效果已无法满足需求,所以出现了隐藏方法加固,运行时动态恢复和反调试等方法来对抗,本文通过实例来分析有哪些对抗和反调试手段。 0x01 对抗反编译 首先使用apktool进行反编译,发现该应用使用的加固方式会让apktool卡死,通过调试apktool源码(如何调试apktool可参见前文《Android应用资源文件格
转载
2023-11-22 14:43:33
101阅读
反调试——Windows异常-SEH概念:SEH:Structured Exception HandlingSEH是Windows默认的异常处理机制如何使用在代码中使用__try
__except()//结构类型的语句__except()小括号里面填写表达式,表达式为真的时候执行里面的内容__try里面包含的是可能触发异常的语句,except里面包含的是出现了异常后执行的操作。__except
转载
2024-04-15 13:36:20
167阅读
反调试1.自己ptrace自己代码非常简单,在so中加上这行代码即可:1ptrace(PTRACE_TRACEME, 0, 0, 0);其中PTRACE_TRACEME代表:本进程被其父进程所跟踪。一个进程只能被ptrace一次,通常在调试的时候都会attach被调试应用的进程,如果我们先占坑,父进程attach自己,那么其他的附加调试就会失败。2.检测Tracerpid的值在自己的应用中的nat
转载
2023-06-30 18:17:40
301阅读
&n
转载
2023-10-16 22:38:17
179阅读
一、32位系统
nt!_PEB
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
+0x002 BeingDebugged : UChar isDbg值,8字节
+0x003 BitField : UChar
+0x003 ImageUsesL
原创
2023-06-28 12:51:10
1594阅读
在学习过程中对网上的一些反调试手段进行了实践,以下为产生的结论和一些问题反调试来源参考:https://bbs.pediy.com/thread-223324.htm测试机器:小米6x开发版 1.调试端口检测原理:读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。这里需要说明的是由于安卓安全性更新,/proc等目录在app里面已经没法
转载
2024-02-29 21:33:07
135阅读
一、 前言
前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要反下就知道了。我想代码其实意义不是很大,重要的是理解和运用。
做个简单的总结,说
转载
2024-04-03 09:57:29
23阅读
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActivePr...
原创
2022-07-19 10:10:29
86阅读
背景 STARTUPINFO 反调试: 程序启动时默认会通过 explorer 资源管理
转载
2022-12-12 21:00:57
47阅读
procedure TForm1.FormCreate(Sender: TObject);var isDebuggerPresent: function:Boolean; DllModule: THandle;begin DllModule := Loa
转载
2023-08-31 10:52:02
51阅读
