反调试第二.docVIP

反调试第二 Windows Anti-Debug Reference [Windows 反调试参考] 来自:/viewthread.php?tid=17508 Nicolas Falliere 2007-09-12 链接: /infocus/1893 Angeljyt翻译于 2007-09-15 [1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的反调试和反跟踪技术.特殊的调试器检测,例如窗口或进程枚举,注册表扫描等等. 在此我将不再多说. [2] 反调试和反跟踪技术 - 探索内存差异 (1) kernel32!IsDebuggerPresent 如果进程正在被调试IsDebuggerPresent 返回值为 1, 否则为0. 这个API 简单的读取 PEB!BeingDebugged 字节标志(在PEB结构中偏移量为2). 设置PEB!BeingDebugged为0就可以轻松绕过它. 例子: call IsDebuggerPresent test eax, eax jne @DebuggerDetected ... (2) PEB!IsDebugged 这个字段指向进程环境块中的第二个字节.当进程被调试时由系统设置.这个字节可以重置为0而对程序的执行没有任何影响(这仅是一个通知标志). 例子: mov eax, fs:[30h] mov eax, byte [eax+2] test eax, eax jne @DebuggerDetected ... (3) PEB!NtGlobalFlags 当进程创建的时候,系统设置一些标志,它们将定义各种API在该程序中的行为.这些标志能从PEB中偏移量为0x68(请查看本文最后参考)的DWORD类型字段读取到. 不同标志的默认值设置依赖于进程是否被调试.如果进程正被调试, 在ntdll中一些控制堆处理流程的标志将被设置: FLG_HEAP_ENABLE_TAIL_CHECK, FLG_HEAP_ENABLE_FREE_CHECK 和FLG_HEAP_VALIDATE_PARAMETERS. 这个反调试能被重置NtGlobalFlags 字段通过 例子: mov eax, fs:[30h] mov eax, [eax+68h] and eax, 0x70 test eax, eax jne @DebuggerDetected ... (4) Heap flags 如先前所解释的NtGlobalFlags 通知尤其是堆流程怎么表现 . 尽管很容易修改PEB字段,但是如果堆表现的行为和进程未被调试时不一致将会是个大问题. 这是个强有力的反调试,因为进程的堆有很多并且它们的块能单独被FLG_HEAP_*标志(例如块尾)影响. 堆头也一样能被影响.例如,检查 在堆头的ForceFlags (偏移量为 0x10) 标志能发现是否有调试器. 这有两种方式可以轻松的绕过这个反调试: - 创建一个非调试进程, 然后再附加调试器(一种容易的解决方案就是创建一个挂起进程, 运行到入口点, 补丁到一个无限循环中, 恢复进程, 附加调试器, 还原入口点). - 强制被调试进程的NtGlobalFlags标志,通过注册表键HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, 创建一个键名为进程名没有值的子键,在此子键下面把字符串GlobalFlags设为空值. 例子: mov eax, fs:[30h] mov eax, [eax+18h] ;process heap mov eax, [eax+10h] ;heap flags test eax, eax jne @DebuggerDetected ... (5) Vista 反调试 (没有名字) 这个反调试特定于Windows Vista ,我通过比较在有和没有调试器时程序的内存转储发现的.我不能确定它的可靠性, 但是值得一提(测试于 Windows Vista 32位, SP0, 英文版本). 当进程被调试, 它的主线程TEB, 在偏移量0xBFC, 包括一个在系统dll中引用 的unicode字符串的指针. 而且, 字符串就跟在指针后面 (因此位于TEB中偏移量 0xC