恶意代码原理、技术与防范 课件 11-反动态分析技术.pptx

第十一章反动态分析技术

引言当加密技术和代码混淆技术阻止分析人员正确地反汇编和分析代码时，分析人员往往会采用动态分析的方法还原代码的真实指令。由此可见，恶意代码仅仅对抗静态分析的加密和混淆技术还是不够的，如何对抗动态分析也成为了必须要解决的问题。

反动态分析技术概述反调试技术虚拟机检测技术

1反动态分析技术概述调试器虚拟机动态分析的主要方法：反调试器技术虚拟机检测技术反动态分析的方法

反动态分析技术概述反调试技术虚拟机检测技术

2.反调试技术反调试技术：恶意代码侦察自身是否处于调试状态，并在调试状态执行异常、退出等代码来阻止调试过程，或者跳转到一条不含恶意行为的分支路径执行。具体方法：发现调试器环境后采取规避措施：探测调试器识别调试器行为干扰调试器正常调试运行

2.反调试技术（1）探测调试器通过API函数探测调试器API函数探测调试器的思路？哪些API能够获得系统记录调试器的标志？哪些API在调试环境中运行和正常环境中运行有所区别？

2.反调试技术获取调试标志的API函数名功能API层次IsDebuggerPresent检测PEB中的IsDebugged标志WindowsAPICheckRemoteDebuggerPresent调用NtQueryInformationProcess得到的返回值进行判断WindowsAPINtQueryInformationProcess可查询调试信息ProcessDebugPort、ProcessDebugObjectHandle、ProcessDebugFlagsNativeAPI优点：简单实用缺点：存在被Hook的风险

2.反调试技术调试环境与实际环境执行区别的API函数NtSetInformationThread（NativeAPI）设置线程优先级，当第2个参数设置为固定值0x11(ThreadHideFromDebugger)时可将程序脱离调试环境。用法：代码中加入对此函数的调用，若调试环境则程序中止，正常环境程序继续。

2.反调试技术GetLastError(WindowsAPI)BOOLCheckDebug(){DWORDerrorValue=54321;SetLastError(errorValue);OutputDebugString(Testfordebugger!);if(GetLastError()==errorValue)returnTRUE;elsereturnFALSE;}一些函数在调试环境中可能优先截获信息并修改错误代码：OutputDebugString、DeleteFiber、CloseHandle等；

2.反调试技术直接获取进程的与调试相关的结构进程中哪些位置与调试器标志有关？偏移字段名称类型调试时未调试时+0x002BeingDebuggedUChar10+0x00cLdrPtr32_PEB_LDR_DATA0xFEEEFEEE模块地址+0x018ProcessHeapPtr32Void(堆结构体）其它值ForceFlags=0Flags=2+0x068NtGlobalFlagUint0x70其它值进程环境块PEB

2.反调试技术查询调试器在系统中的安装痕迹（以OD为例）注册表项：SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug（32位操作系统）SOFTWARE\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\AeDebug（64位操作系统）窗口标题：OllyDBG、OllyICE进程信息:OllyDBG.exe、OllyICE.exe

2.反调试技术（2）识别调试器行为为了提供断点设置、分步调试等功能，调试器会修改被调试的代码。通过探测代码是否被调试器修改，即可知道是否在调试环境下运行。软件/硬件断点完整性校验时钟检测......

2.反调试技术软件断点:int3h（0xcc），内存中查找硬件断点：IntelCPU，调试寄存器DR0~DR7DR0~DR3：设置断点的地址；DR4~DR5：保留DR6~DR7：断点的读、写、执行等属性若设置了硬件断点，则DR0~DR3不为0；方法：GetThreadContext()获得寄存器的值

2.反调试技术代码校验和MD5CRC时钟检测：计算指令执行时间差QueryPerformanceCounter()：时钟计数器GetTickCount()：系统重启以来时钟数rdtsc：系统重启以来时钟数

2.反调试技术调试时的特殊行为