180310 逆向-反调试技术（3）DebugObject

1625-5 王子昂总结《2018年3月10日》【连续第525天总结】
A. 反调试技术（3）
B.

DebugObject

之前都是从被调试进程入手找痕迹，除此以外调用了DebugAPI的调试器必然要向系统进行声明注册，因此从调试器一边寻找痕迹也是可行的

调试器与被调试程序建立关系有两种途径

在创建进程时设置DEBUG_PROCESS
调用DebugActiveProcess附加到某个一运行的进程上

当调试器开启的时候会创建一个DebugObject，并且储存在了NtCurrentTeb()->DbgSs Reserved[1]处

普通的进程中DbgSsReserved[1]应该为NULL，因此此处如果有值那么就说明该进程是一个用户态的调试器进程

Ntdll中有导出函数可以操作这个域：DbgUiGetThreadDebugObject(VOID)
因此可以通过这个方法来判断一个进程是不是调试器，进而反调

然而这个函数只能判断某一个进程，有些累赘
再向上追踪可以发现DebugObject是由ZwCreateDebugObject调用了ObCreateObject来创建的，因此可以用ZwQueryObject查询所有对象的类型，若发现DebugObject的数目不为0，就说明系统中此时运行着调试器

诚然有调试器并不意味着对方就是在破解自己的软件，不过普通用户一般是不会开着调试器的，所以从这个角度想，错杀还是可以接受的

C. 明日计划
反调试技术（4）

180310 逆向-反调试技术（3）DebugObject相关推荐

180306 逆向-反调试技术（1）BeingDebugged
1625-5 王子昂总结<2018年3月6日> [连续第521天总结] A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPres ...
静态反调试技术（3）
文章目录 ZwSetInformationThread 破解方法 **调试程序代码**: 利用TLS回调函数(详情通过以下链接查看) ETC 破解之法 **调试程序代码**: 篇章大总结: 反调试技术 ...
静态反调试技术（2）
文章目录 NtQueryInformationProcess() `ProcessDebugPort`(0x7) CheckRemoteDebuggerPresent() ProcessDebugOb ...
静态反调试技术（1）
文章目录声明静态反调试目的注意 PEB https://blog.csdn.net/CSNN2019/article/details/113113347 BeingDebugged(+0x2) ...
反调试技术揭秘（转）
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编之类的方法破解自己.为了了解如何破解反调试技术, ...
windows平台下的反调试技术
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己.为了了解如何破解反调试技术 ...
Windows反调试技术全攻略
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己.为了了解如何破解反调试技术 ...
如何绕过反调试技术——PhantOM插件总结
PhantOM是OllyDbg的一款插件,可以用来绕过大多数的反调试技术,功能十分强大,所以单独对这个插件进行使用总结.(Ps:现在似乎不怎么常用,在64位下的兼容性比较差,现在比较常用的是sharp ...
详解反调试技术（转）
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效.恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间.为了阻止调试器的分析,当 ...

180310 逆向-反调试技术（3）DebugObject

DebugObject

180310 逆向-反调试技术（3）DebugObject相关推荐

最新文章

热门文章