OD反调试大全.docx

OD反调试大全调试技巧总结-原理和实现2021.8.7shellwolf一、前言前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码，我都没有回复。其实代码已经在编程版提供了1个版本，另其多是VC内嵌asm写的，对CraCker而言，只要反下就知道了。我想代码其实意义不是很大，重要的是理解和运用。做个简单的总结，说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。部分代码和参考资料来源：1、<>hawking2、OAngeljyt3、4、看雪学院5、OPeterFerrie我将反调试技巧按行为分为两大类，一类为检测，另一类为攻击，每类中按操作对象又分了五个小类：1、通用调试器包括所有调试器的通用检测方法2、特定调试器包括0D、IDA等调试器，也包括相关插件，也包括虚拟环境3、断点包括内存断点、普通断点、硬件断点检测4、单步和跟踪主要针对单步跟踪调试5、补丁包括文件补丁和内存补丁反调试函数前缀检测攻击通用调试器FD_AD_特定调试器FS_AS_断点FB_AB_单步和跟踪FTAT_补丁FPAP声明：1、本文多数都是摘录和翻译，我只是重新组合并翻译，不会有人告侵权吧。里面多是按自己的理解来说明，可能有理解错误，或有更好的实现方法，希望大家帮忙指出错误。2、我并没有总结完全，上面的部分分类目前还只有很少的函数甚至空白，等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识，丰富的想像力，灵活的运用，就会创造出更多的属于自己的反调试。而最强的反调试，通常都是自己创造的，而不是来自别人的代码。二、查找-通用调试器(FD_)函数列表如下，后面会依次说明，需事先说明的是，这些反调试手段多数已家喻户晓,目前有效的不多，多数已可以通过OD的插件顺利通过，如果你想验证它们的有效性，请关闭OD的所有反反调试插件：boolFD_TsDebuggerPresent();boolFD_PEB_BeiDgDebuggedFlagO;boolFD_PEB_NtGlobalFlags();boolFDJeapHeapFlagsO；boolFDHeapForceFlagsO；boolED_Heap_Tail();boolEDCheckRemoteDebuggerPresent();boolFD_NtQueryInfoProc_DbgPort();boolFD_NtQueryInfoProcDbgObjHandleO;boolFD-NtQuerylnfoProjDbgFlagsO;boolFD-NtQueryInfoPrOJSySKriDbglnfO();boolFD_SeDebugPrivilegeO;boolFDParentProcess();boolFDDebugObject_NtQueryObject();boolFD_FindjebuggerJVindowO;boolFD_Find_Debugger_Process();boolFD_Find_Device_Driver();boolFD_ExceptiOnclOSehandIe();boolED_Exception_Int3();boolFDExceptionPopfO；boolFDOutputDebugStringO;boolFD_TEB_check_in_Vista();boolFDcheckStartupInfo();boolFDparentPrOCeSSl();boolED_Exception_Instruction_count();boolFD_INT_2d();2.1FDJsDebuggerPresentO对调试器来说，ISDebUggerPreSent是臭名昭著的恶意函数。不多说了，它是个检测调试的api函数。实现更简单，只要调用ISDebUggerPreSent就可以了。在调用它之前，可以加如下代码，以用来检测是否在函数头有普通断点，或是否被钩挂。/checkSoftbreakif(*(BYTE*)Funcaddr=Oxcc)returntrue;/checkhookif(*(BYTE*)Func_addr!=0x64)returntrue;2.2EDJ3EB-BeingDebuggedFlag我们知道，如果程序处于调试器中，那么在PEB结构中有个beingDegug标志会被设置，直接读取它就可判断是否在调试器中。实际上ISDebUggerPreSent就是这么干的。_asmmoveax,fs:30h;EAX=TEB.ProcessEnvironnientBlockinceaxinceaxmoveax,eaxandeax,OxOOOOOOff;AL=PEB.BeingDebuggedtesteax,eaxjnertabeljmprf_label2.3FD-PEB-NtGlobalFlagsPEB中还有其它FLAG表明了调试器的存在，如NtGIObaIFIags。它位于PEB环境中偏移为0x68的位置，默认情况下该值为0,在win2k和其后的WindoWS平台下，如果在调试中，它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠(如在Winnt中)，但这种方法却也很常用。这个标志由下面几个标志组成：*_HEAP_ENABLE_TAIL_CHECK(0x10)*_HEAP_ENABLE_FREE_CHECK(0x20)*HEAPVALIDATE_PARAMETERS(0x40)检测NtGlobaIFIagS的方法如下，这个方法在EXeCryPtOr中使用过。asm)moveax,fs:30hmoveax,eax+68handeax,0x70testeax,eaxjnert_labeljmprf_label2.4FD_HeapHeapFlags0同样，调试器也会在堆中留下痕迹，你可以使用kernel32GetProcessHeap()函数，如果你不希望使用api函数(以免暴露)，则可以直接在PEB中寻找。同样的，使用HeaPFIagS和后面提到的FOrCeFIagS来检测调试器也不是非常可靠，但却很常用。这个域由一组标志组成，正常情况下，该值应为2。_asmmoveax,fs:30hmoveax,eax+18h;PEB.ProcessHeapmoveax,eax+0ch;PEB.ProcessHeap.Flagscmpeax,2jnert_labeljmprf_label2.5FDHeapForceFlags进程堆里另外一个标志，ForceFlags,它也由一组标志组成，正常情况下，该值应为Oo_asm(moveax,fs:30hmoveax,eax+18h;PEB.ProcessHeapmoveax,eax+10h;PEB.ProcessHeap.ForceFlagstesteax,eaxjnert_labeljmprf_label2.6 FDJeapJTail如果处于调试中，堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED将会在分配的堆块尾部生成两个OxBABBBo如果需要额外的字节来填充堆尾，UEAP_FREE_CIIECKTNG_ENABLED标志则会生成OxFEEEFEEE,据说Themida使用过这个反调试asm(moveax,buff;getUnusedbytesmovzxecx,byteptrea-2movzxedx,wordptrea-8;SiZesubeax,ecxleaedi,edx*8+eaxmoval,Oabhmovcl,8repesca*jert_labeljmprf_label2.7 EDCheckRemoteDebuggerPresentCheckRemoteDebuggerPresent是另一个检测调试的api,只是可惜它似乎只能在winxpSPl版本以后使用。它主要是用来查询一个在Winnt时就有的一个数值，其内部会调用NtQUeryInfOrnlationPrOCeSS(),我是这样实现的：FARPROCFuncaddr;HMODULEhModule=GetModuleHandle(if(IiModule=INVALIDJANDLEJALUE)returnfalse;(FARPROC&)Funcaddr=GetProcAddress(hModule,if(Funcaddr!=NULL)_asmpusheax;pushesp;pushOxffffffff;callFunjaddr;testeax,eax;jerf_label;popeax;testeax,eaxjerf_label;jmprt_label;2.8 8ED_NtQuerylnfoProc_DbgPort使用ntdll.NtQuerylnfonnationProcess()来查询ProcessDebugPort可以用来检测反调试。如果进程被调试，其返回值应为OXffffffff。下面的代码应该是从pediy里CoPy过来的，时间太长，不记得是哪位兄弟的代码了。HMODULEhModule=GetModu1eHand1e(ZWQUERYlNFORMATIOWPROCESSZwQuerylnformationProcess;ZwQueryInformationProcess=(ZWQUERY_INFORM/TIONPROCESS)GetProcAddress(hModule,if(ZwQuerylnformationProcess=NULL)returnfalse;PROCESS_DEBUG_PORT_INFOProcessInfo;if(STATUS_SUCCESS!=ZwQuerylnformationProcess(GetCurrentProcess(),ProcessDebugPort,&ProcessInfo,sizeof(ProcessInfo),NULL)returnfalse;elseif(Processinfo.DebugPort)returntrue;elsereturnfalse;2.9FD.NtQueryInfoProc_DbgObjHand1e在WinXP中引入了当一个调试活动开始，一个被创建，同也相应产生了一个句柄。使用为公开的ProcessDebugObjectHandle类,可以查询这个句柄的数值。代码可能还是从Pediy里复制的，不记得了。HMODULEhModule=GetModuleHandle(ZWQUERYINFORMATION,PROCESSZwQuerylnformationProcess;ZwQueryInformationProcess=(ZW_QUERY_INFORMATlON_PROCESS)GetProcAddress(hModule,if(ZwQuerylnformationProcess=NULL)returnfalse;_PROCESS_DEBUG_OBJECTHANDLE_INFOProcessInfo;感谢您的阅读，祝您生活愉快。