脱壳学习(二)- 反“反调试”篇
发布网友
发布时间:2024-10-15 01:53
共1个回答
热心网友
时间:2024-10-15 09:08
常见的反调试技术包括:通过检测调试痕迹判断是否被调试,如检查PEB表中的BeingDebugged、ProcessHeap和NTGlobalFlag属性;识别调试器行为,如通过INT扫描、执行代码校验和时钟监测;以及干扰调试器功能,如利用TLS回调和异常处理。例如,通过对PEB表的特定地址进行检查,如果发现程序在被调试时会执行某些特定操作,可以通过修改这些地址的值来绕过检测。
实例中,以VMProtect3.5全保护加壳的代码为例,通过删除断点、设置条件性断点,以及利用NtQueryInformationProcess和NtSetInformationThread等Windows API,来判断和干扰调试状态。通过硬件断点,检测系统是否启用内核调试或无效句柄释放,最终成功绕过了反调试,使得程序在调试模式下正常运行。
总之,反反调试是一个动态的猫鼠游戏,逆向工程师需要不断学习和适应新的反调试技术,以保持在安全分析领域的竞争力。
