<!-- google_ad_section_start -->反调试技巧总结-原理和实现
-------------------------------------------------------------------
2008.8.7??shellwolf
一、?前言
????前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm写的,对cracker而言,只要反下就知道了。我想代码其实意义不是很大,重要的是理解和运用。
????做个简单的总结,说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。
????部分代码和参考资料来源:
1、<<脱壳的艺术>>?hawking
2、<<windows?anti-debugger?reference>>?Angeljyt
3、http://bbs.pediy.com?
4、<<软件加密技术内幕>>?看雪学院
5、<<ANTI-UNPACKER?TRICKS>>?Peter?Ferrie
我将反调试技巧按行为分为两大类,一类为检测,另一类为攻击,每类中按操作对象又分了五个小类:
1、?通用调试器?????包括所有调试器的通用检测方法
2、?特定调试器?????包括OD、IDA等调试器,也包括相关插件,也包括虚拟环境
3、?断点???????????包括内存断点、普通断点、硬件断点检测
4、?单步和跟踪?????主要针对单步跟踪调试
5、?补丁???????????包括文件补丁和内存补丁
反调试函数前缀
??????????????检测????????攻击
通用调试器?????FD_????????AD_
特定调试器?????FS_????????AS_
断点???????????FB_????????AB_
单步和跟踪?????FT_????????AT_
补丁???????????FP_????????AP_
声明:
1、本文多数都是摘录和翻译,我只是重新组合并翻译,不会有人告侵权吧。里面多是按自己的理解来说明,可能有理解错误,或有更好的实现方法,希望大家帮忙指出错误。
2、我并没有总结完全,上面的部分分类目前还只有很少的函数甚至空白,等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识,丰富的想像力,灵活的运用,就会创造出更多的属于自己的反调试。而最强的反调试,通常都是自己创造的,而不是来自别人的代码。
二、?查找-通用调试器(FD_)
函数列表如下,后面会依次说明,需事先说明的是,这些反调试手段多数已家喻户晓,目前有效的不多,多数已可以通过OD的插件顺利通过,如果你想验证它们的有效性,请关闭OD的所有反反调试插件:
bool?FD_IsDebuggerPresent();
bool?FD_PEB_BeingDebuggedFlag();
bool?FD_PEB_NtGlobalFlags();
bool?FD_Heap_HeapFlags();
bool?FD_Heap_ForceFlags();
bool?FD_Heap_Tail();
bool?FD_CheckRemoteDebuggerPresent();
bool?FD_NtQueryInfoProc_DbgPort();
bool?FD_NtQueryInfoProc_DbgObjHandle();
bool?FD_NtQueryInfoProc_DbgFlags();
bool?FD_NtQueryInfoProc_SysKrlDbgInfo();
bool?FD_SeDebugPrivilege();
bool?FD_Parent_Process();
bool?FD_DebugObject_NtQueryObject();
bool?FD_Find_Debugger_Window();
bool?FD_Find_Debugger_Process();
bool?FD_Find_Device_Driver();
bool?FD_Exception_Closehandle();
bool?FD_Exception_Int3();
bool?FD_Exception_Popf();
bool?FD_OutputDebugString();
bool?FD_TEB_check_in_Vista();
bool?FD_check_StartupInfo();
bool?FD_Parent_Process1();
bool?FD_Exception_Instruction_count();
bool?FD_INT_2d();
2.1?FD_IsDebuggerPresent()
对调试器来说,IsDebuggerPresent是臭名昭著的恶意函数。不多说了,它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。
??//check?softbreak
??if(*(BYTE*)Func_addr==0xcc)
????return?true;
??//check?hook
??if(*(BYTE*)Func_addr!=0x64)
????return?true;
2.2?FD_PEB_BeingDebuggedFlag
我们知道,如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。
??__asm
??{
????mov?eax,?fs:[30h]?;EAX?=??TEB.ProcessEnvironmentBlock
????inc?eax
????inc?eax
????mov?eax,?[eax]
????and?eax,0x000000ff??;AL??=??PEB.BeingDebugged
????test?eax,?eax
????jne?rt_label
????jmp?rf_label
??}
2.3?FD_PEB_NtGlobalFlags
PEB中还有其它FLAG表明了调试器的存在,如NtGlobalFlags。它位于PEB环境中偏移为0x68的位置,默认情况下该值为0,在win2k和其后的windows平台下,如果在调试中,它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠(如在winnt中),但这种方法却也很常用。这个标志由下面几个标志组成:
***_HEAP_ENABLE_TAIL_CHECK?(0x10)
***_HEAP_ENABLE_FREE_CHECK?(0x20)
***_HEAP_VALIDATE_PARAMETERS?(0x40)
检测NtGlobalFlags的方法如下,这个方法在ExeCryptor中使用过。
__asm
??{
????mov?eax,?fs:[30h]
????mov?eax,?[eax+68h]
????and?eax,?0x70
????test?eax,?eax
????jne?rt_label
????jmp?rf_label
??}
2.4?FD_Heap_HeapFlags()
同样,调试器也会在堆中留下痕迹,你可以使用kernel32_GetProcessHeap()函数,如果你不希望使用api函数(以免暴露),则可以直接在PEB中寻找。同样的,使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠,但却很常用。
这个域由一组标志组成,正常情况下,该值应为2。
??__asm
??{
????mov?eax,?fs:[30h]
????mov?eax,?[eax+18h]?;PEB.ProcessHeap
????mov?eax,?[eax+0ch]?;PEB.ProcessHeap.Flags
????cmp?eax,?2
????jne?rt_label
????jmp?rf_label
??}
2.5?FD_Heap_ForceFlags
进程堆里另外一个标志,ForceFlags,它也由一组标志组成,正常情况下,该值应为0。
??__asm
??{
????mov?eax,?fs:[30h]
????mov?eax,?[eax+18h]?;PEB.ProcessHeap
????mov?eax,?[eax+10h]?;PEB.ProcessHeap.ForceFlags
????test?eax,?eax
????jne?rt_label
????jmp?rf_label
??}
2.6?FD_Heap_Tail
如果处于调试中,堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED?将会在分配的堆块尾部生成两个0xABABABAB。如果需要额外的字节来填充堆尾,HEAP_FREE_CHECKING_ENABLED标志则会生成0xFEEEFEEE。
据说Themida使用过这个反调试
??__asm
??{
????mov?eax,?buff
????;get?unused_bytes
????movzx?ecx,?byte?ptr?[eax-2]
????movzx?edx,?word?ptr?[eax-8]?;size
????sub?eax,?ecx
????lea?edi,?[edx*8+eax]
????mov?al,?0abh
????mov?cl,?8
????repe?sca**
????je?rt_label
????jmp?rf_label
??}
2.7?FD_CheckRemoteDebuggerPresent
CheckRemoteDebuggerPresent是另一个检测调试的api,只是可惜它似乎只能在winxp?sp1版本以后使用。它主要是用来查询一个在winnt时就有的一个数值,其内部会调用NtQueryInformationProcess(),我是这样实现的:
??FARPROC?Func_addr?;
??HMODULE?hModule?=?GetModuleHandle("kernel32.dll");
??if?(hModule==INVALID_HANDLE_VALUE)
????return?false;
??(FARPROC&)?Func_addr?=GetProcAddress(hModule,?"CheckRemoteDebuggerPresent");
??if?(Func_addr?!=?NULL)?
??{
????__asm?
????{
??????push??eax;
??????push??esp;
??????push??0xffffffff;
??????call??Func_addr;
??????test??eax,eax;
??????je????rf_label;
??????pop????eax;
??????test??eax,eax
??????je????rf_label;
??????jmp????rt_label;
????}
??}
2.8?FD_NtQueryInfoProc_DbgPort
使用ntdll_NtQueryInformationProcess()来查询ProcessDebugPort可以用来检测反调试。如果进程被调试,其返回值应为0xffffffff。
下面的代码应该是从pediy里copy过来的,时间太长,不记得是哪位兄弟的代码了。
??HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
??ZW_QUERY_INFORMATION_PROCESS?ZwQueryInformationProcess;?
????ZwQueryInformationProcess?=?(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,?"ZwQueryInformationProcess");?
????if?(ZwQueryInformationProcess?==?NULL)?
????return?false;
??PROCESS_DEBUG_PORT_INFO?ProcessInfo;?
??if?(STATUS_SUCCESS?!=?ZwQueryInformationProcess(GetCurrentProcess(?),?ProcessDebugPort,?&ProcessInfo,?sizeof(ProcessInfo),?NULL))?
????return?false;
??else?
????if(ProcessInfo.DebugPort)
??????return?true;
????else
??????return?false;
??????
2.9?FD_NtQueryInfoProc_DbgObjHandle
??在winxp中引入了"debug?object".当一个调试活动开始,一个"debug?object"被创建,同也相应产生了一个句柄。使用为公开的ProcessDebugObjectHandle类,可以查询这个句柄的数值。
??代码可能还是从pediy里复制的,不记得了。
??HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
??ZW_QUERY_INFORMATION_PROCESS?ZwQueryInformationProcess;?
????ZwQueryInformationProcess?=?(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,?"ZwQueryInformationProcess");?
????if?(ZwQueryInformationProcess?==?NULL)?
????return?false;
??_PROCESS_DEBUG_OBJECTHANDLE_INFO?ProcessInfo;?
??if?(STATUS_SUCCESS?!=?ZwQueryInformationProcess(GetCurrentProcess(?),?(PROCESS_INFO_CLASS)0x0000001e,?&ProcessInfo,?sizeof(ProcessInfo),?NULL))?
????return?false;
??else?
????if(ProcessInfo.ObjectHandle)
??????return?true;
????else
??????return?false;
2.10?FD_NtQueryInfoProc_DbgFlags();
同样的未公开的ProcessDebugFlags类,当调试器存在时,它会返回false。
??HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
??ZW_QUERY_INFORMATION_PROCESS?ZwQueryInformationProcess;?
????ZwQueryInformationProcess?=?(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,?"ZwQueryInformationProcess");?
????if?(ZwQueryInformationProcess?==?NULL)?
????return?false;
??_PROCESS_DEBUG_FLAGS_INFO?ProcessInfo;?
??if?(STATUS_SUCCESS?!=?ZwQueryInformationProcess(GetCurrentProcess(?),?(PROCESS_INFO_CLASS)0x0000001f,?&ProcessInfo,?sizeof(ProcessInfo),?NULL))?
????return?false;
??else?
????if(ProcessInfo.Debugflags)
??????return?false;
????else
??????return?true;
2.11?FD_NtQueryInfoProc_SysKrlDbgInfo()
这个方法估计对大家用处不大,SystemKernelDebuggerInformation类同样可以用来识别调试器,只是可惜在windows下无效,据称可以用在reactOS中。
???HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
????ZW_QUERY_SYSTEM_INFORMATION?ZwQuerySystemInformation;?
????ZwQuerySystemInformation?=?(ZW_QUERY_SYSTEM_INFORMATION)GetProcAddress(hModule,?"ZwQuerySystemInformation");?
????if?(ZwQuerySystemInformation?==?NULL)?
????????return?false;
????SYSTEM_KERNEL_DEBUGGER_INFORMATION?Info;?
????if?(STATUS_SUCCESS?==?ZwQuerySystemInformation(SystemKernelDebuggerInformation,?&Info,?sizeof(Info),?NULL))?
????{?
????????if?(Info.DebuggerEnabled)?
????????{?
????????????if?(Info.DebuggerNotPresent)?
????????????????return?false;
????????????else?
????????????????return?true;
????????}?
????????else?
????????????return?false;
????}?
????else?
???????return?true;
2.12?FD_SeDebugPrivilege()
??当一个进程获得SeDebugPrivilege,它就获得了对CSRSS.EXE的完全控制,这种特权也会被子进程继承,也就是说一个被调试的程序如果获得了CSRSS.EXE的进程ID,它就可以使用openprocess操作CSRSS.EXE。获得其进程ID有很多中方法,如Process32Next,或NtQuerySystemInformation,在winxp下可以使用CsrGetProcessId。
????hTmp=OpenProcess(PROCESS_ALL_ACCESS,false,PID_csrss);
????if(hTmp!=NULL)
????{
??????CloseHandle(hProcessSnap?);
??????return?true;
????}
2.13?FD_Parent_Process()
通常我们都直接在windows界面下运行应用程序,这样的结果就是它的父进程为"explorer.exe",这个反调试就是检测应用程序的父进程是否为"explorer.exe",如不是则判定为处于调试器中,这也不是百分百可靠,因为有的时候你的程序是在命令行提示符下运行的。
Yoda使用了这个反调试,它使用Process32Next检测父进程,目前很多插件已经通过使Process32Next始终返回false来越过这个反调试(比如HideOD)。不过可以对代码做些简单的修正来处理这个反反调试。
2.14?FD_DebugObject_NtQueryObject();
??如前面所描述的,当一个调试活动开始,一个"debug?object"被创建,同也相应产生了一个句柄。我们可以查询这个调试对象列表,并检查调试对象的数量,以实现调试器的检测。
??HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
??PNtQueryObject?NtQueryObject;
??NtQueryObject?=?(PNtQueryObject)GetProcAddress(hModule,"NtQueryObject");
??if(NtQueryObject==NULL)
????return?false;
??unsigned?char?szdbgobj[25]=
??"\x44\x00\x65\x00\x62\x00\x75\x00\x67\x00\x4f\x00\x62\x00\x6a\x00\x65\x00\x63\x00\x74\x00\x00\x00";
??unsigned?char?*psz=&szdbgobj[0];
??__asm
??{
????xor????ebx,ebx;
????push??ebx;
????push??esp;
????push??ebx;
????push??ebx;
????push??3;
????push??ebx;
????Call??dword?ptr?[NtQueryObject];
????pop??edi;
????push??4;
????push??1000h;
????push??edi;
????push??ebx;
??????call??dword?ptr?[VirtualAlloc];
????push??ebx;
????push??edi;
????push??eax;
????push??3;
????push??ebx;
????xchg??esi,eax;
????Call??dword?ptr?[NtQueryObject];
????lodsd;
????xchg??ecx,eax;
lable1:??lodsd;
????movzx??edx,ax;
????lodsd;
????xchg??esi,eax;
????cmp????edx,16h;
????jne????label2;
????xchg??ecx,edx;
????mov????edi,psz;
????repe??cmp**;
????xchg??ecx,edx;
????jne????label2;
????cmp????dword?ptr?[eax],edx
????jne????rt_label;
lable2:??add????esi,edx
????and????esi,-4;
????lodsd
????loop??label1;
??}
??return?false;
rt_label:
??return?true;
2.15?FD_Find_Debugger_Window();
通过列举运行的应用程序的窗口,并于常用调试相关工具比对的方法,应该很常用了,就不多说了。这个也是个可以自行增加项目的函数,你可以将一些常用的调试工具归入其中,比如OD,IDA,WindBG,SoftICE等,你也可以添加任何你需要的,比如"Import?REConstructor?v1.6?FINAL?(C)?2001-2003?MackT/uCF","Registry?Monitor?-?Sysinternals:?www.sysinternals.com"等等。
??//ollyice
????hWnd=CWnd::FindWindow(_T("1212121"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//ollydbg?v1.1
????hWnd=CWnd::FindWindow(_T("icu_dbg"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//ollyice?pe--diy
????hWnd=CWnd::FindWindow(_T("pe--diy"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//ollydbg??-°?
????hWnd=CWnd::FindWindow(_T("ollydbg"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//ollydbg??-°?
????hWnd=CWnd::FindWindow(_T("odbydyk"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//windbg
????hWnd=CWnd::FindWindow(_T("WinDbgFrameClass"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//dede3.50
????hWnd=CWnd::FindWindow(_T("TDeDeMainForm"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//IDA5.20
????hWnd=CWnd::FindWindow(_T("TIdaWindow"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//others
????hWnd=CWnd::FindWindow(_T("TESTDBG"),NULL);
????if?(hWnd!=NULL)
????return?true;
????hWnd=CWnd::FindWindow(_T("kk1"),NULL);
????if?(hWnd!=NULL)
????return?true;
????hWnd=CWnd::FindWindow(_T("Eew75"),NULL);
????if?(hWnd!=NULL)
????return?true;
????hWnd=CWnd::FindWindow(_T("Shadow"),NULL);
????if?(hWnd!=NULL)
????return?true;
??//PEiD?v0.94
????hWnd=CWnd::FindWindow(NULL,"PEiD?v0.94");
????if?(hWnd!=NULL)
????return?true;
??//RegMON
????hWnd=CWnd::FindWindow(NULL,"Registry?Monitor?-?Sysinternals:?www.sysinternals.com");
????if?(hWnd!=NULL)
????return?true;
??//File?Monitor
????hWnd=CWnd::FindWindow(NULL,"File?Monitor?-?Sysinternals:?www.sysinternals.com");
????if?(hWnd!=NULL)
????return?true;
??//Import?Rec?v1.6
????hWnd=CWnd::FindWindow(NULL,"Import?REConstructor?v1.6?FINAL?(C)?2001-2003?MackT/uCF");
????if?(hWnd!=NULL)
????return?true;
??return?false;
??
2.16?FD_Find_Debugger_Process();
??与上面的方法类似,区别是这个反调试用通过查询进程名字与已知的常用调试器应用程序名字进行比对,以确定是否有调试器处于运行状态。
????if(strcmp(pe32.szExeFile,"OLLYICE.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"IDAG.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"OLLYDBG.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"PEID.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"SOFTICE.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"LORDPE.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"IMPORTREC.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"W32DSM89.EXE")==0)
????????return?true;
????if(strcmp(pe32.szExeFile,"WINDBG.EXE")==0)
????????return?true;
2.17?FD_Find_Device_Driver()
??调试工具通常会使用内核驱动,因此如果尝试是否可以打开一些调试器所用到的设备,就可判断是否存在调试器。常用的设备名称如下:
\\.\SICE??(SoftICE)
\\.\SIWVID(SoftICE)????
\\.\NTICE??(SoftICE)????
\\.\REGVXG(RegMON)
\\.\REGVXD(RegMON)
\\.\REGSYS(RegMON)
\\.\REGSYS(RegMON)
\\.\FILEVXG(FileMON)
\\.\FILEM(FileMON)
\\.\TRW(TRW2000)
2.18?FD_Exception_Closehandle()
??如果给CloseHandle()函数一个无效句柄作为输入参数,在无调试器时,将会返回一个错误代码,而有调试器存在时,将会触发一个EXCEPTION_INVALID_HANDLE?(0xc0000008)的异常。
??__try??
??{
????CloseHandle(HANDLE(0x00001234));
????return?false;
??}
??__except(1)
??{
????return?true;
??}
2.19?FD_Exception_Int3()
??通过Int3产生异常中断的反调试比较经典。当INT3?被执行到时,?如果程序未被调试,?将会异常处理器程序继续执行。而INT3指令常被调试器用于设置软件断点,int?3会导致调试器误认为这是一个自己的断点,从而不会进入异常处理程序。
??__asm?
??{
????push???offset?exception_handler;?set?exception?handler
????push??dword?ptr?fs:[0h]
????mov????dword?ptr?fs:[0h],esp??
????xor???eax,eax;reset?EAX?invoke?int3
????int????3h
????pop????dword?ptr?fs:[0h];restore?exception?handler
????add???esp,4
????test???eax,eax;?check?the?flag?
????je????rt_label
????jmp????rf_label
exception_handler:
????mov???eax,dword?ptr?[esp+0xc];EAX?=?ContextRecord
????mov????dword?ptr?[eax+0xb0],0xffffffff;set?flag?(ContextRecord.EAX)
????inc???dword?ptr?[eax+0xb8];set?ContextRecord.EIP
????xor???eax,eax
????retn
rt_label:
????xor?eax,eax
????inc?eax
????mov?esp,ebp
????pop?ebp
????retn
rf_label:
????xor?eax,eax
????mov?esp,ebp
????pop?ebp
????retn
??}
2.20?FD_Exception_Popf()
我们都知道标志寄存器中的陷阱标志,当该标志被设置时,将产生一个单步异常。在程序中动态设置这给标志,如果处于调试器中,该异常将会被调试器捕获。
可通过下面的代码设置标志寄存器。
????pushf?
????mov?dword?ptr?[esp],?0x100
????popf
2.21?FD_OutputDebugString()
??在有调试器存在和没有调试器存在时,OutputDebugString函数表现会有所不同。最明显的不同是,?如果有调试器存在,其后的GetLastError()的返回值为零。
??OutputDebugString("");
??tmpD=GetLastError();
??if(tmpD==0)
????return?true;
??return?false;
2.22?FD_TEB_check_in_Vista();
??这是从windows?anti-debug?reference里拷贝出来的,据说是适用于vista系统下检测调试器。我没有vista所以也没有测试。有条件的可以试下,有问题帮忙反馈给我。多谢。
????//vista
????__asm
????{
??????push???offset?exception_handler;?set?exception?handler
??????push??dword?ptr?fs:[0h]
??????mov????dword?ptr?fs:[0h],esp??
??????xor???eax,eax;reset?EAX?invoke?int3
??????int????3h
??????pop????dword?ptr?fs:[0h];restore?exception?handler
??????add???esp,4
??????mov?eax,?fs:[18h]?;?teb
??????add?eax,?0BFCh?
??????mov?ebx,?[eax]?;?pointer?to?a?unicode?string?
??????test?ebx,?ebx?;?(ntdll.dll,?gdi32.dll,...)?
??????je??????rf_label
??????jmp????rt_label
??exception_handler:
??????mov???eax,dword?ptr?[esp+0xc];EAX?=?ContextRecord
??????inc???dword?ptr?[eax+0xb8];set?ContextRecord.EIP
??????xor???eax,eax
??????retn
????}?
2.23?FD_check_StartupInfo();
??这是从pediy上拷贝来的。Window创建进程的时候会把STARTUPINFO结构中的值设为0,而通过调试器创建进程的时候会忽略这个结构中的值,也就是结构中的值不为0,所以可以利用这个来判断是否在调试程序。
??STARTUPINFO?si;
??ZeroMemory(?&si,?sizeof(si)?);
??si.cb?=?sizeof(si);
??GetStartupInfo(&si);
??if?(?(si.dwX?!=?0)?||?(si.dwY?!=0)?
????||?(si.dwXCountChars?!=?0)?||?(si.dwYCountChars?!=0?)?
????||?(si.dwFillAttribute?!=?0)?||?(si.dwXSize?!=?0)?
????||?(si.dwYSize?!=?0)?)
????return?true;
??else??
????return?false;
????
2.24?FD_Parent_Process1()
与前面的FD_Parent_Process原理一样,唯一不同的是使用ZwQueryInformationProcess检测父进程,而没有使用Process32Next,这有一个好处是可以绕过OD的HideOD插件。
2.25?FD_Exception_Instruction_count()
??好像《软件加解密技术》中有提到这个反调试。
??通过注册一个异常句柄,在特定地址设置一些硬件断点,当通过这些地址时都会触发EXCEPTION_SINGLE_STEP?(0x80000004)的异常,在异常处理程序中,将会调整指令指针到一条新指令,然后恢复运行。可以通过进入进程context结构来设置这些断点,有些调试器不能处理那些不是自己设置的硬件断点,从而导致一些指令将会被漏掉计数,这就形成了一个反调试。
??__asm
??{
????xor????eax,eax;
????cdq;
????push??e_handler;
????push??dword?ptr?fs:[eax];
????mov????fs:[eax],esp;
????int?3;
hwbp1:??nop
hwbp2:??nop
hwbp3:??nop
hwbp4:??nop
????div????edx
????nop
????pop????dword?ptr?fs:[0]
????add????esp,4
????cmp????al,4;
????jne????rt_label;
????jmp????rf_label;
e_handler:
????xor????eax,eax;
????;ExceptionRecord
????mov????ecx,dword?ptr[esp+0x04]
????;Contextrecord
????mov????edx,dword?ptr[esp+0x0c]
????;ContextEIP
????inc????byte?ptr[edx+0xb8];
????
????;ExceptionCode
????mov????ecx,dword?ptr[ecx];
????;1.EXCEPTION_INT_DIVIDE_BY_ZERO
????cmp????ecx,0xc0000094;
????jne????Ex_next2;
????;Context_eip
????inc????byte?ptr[edx+0xb8];
????mov????dword?ptr[edx+0x04],eax;dr0
????mov????dword?ptr[edx+0x08],eax;dr1
????mov????dword?ptr[edx+0x0c],eax;dr2
????mov????dword?ptr[edx+0x10],eax;dr3
????mov????dword?ptr[edx+0x14],eax;dr6
????mov????dword?ptr[edx+0x18],eax;dr7
????ret
????;2.EXCEPTION_BREAKPOINT
Ex_next2:
????cmp????ecx,0x80000003;
????jne????Ex_next3;
????mov????dword?ptr[edx+0x04],offset?hwbp1;dr0
????mov????dword?ptr[edx+0x08],offset?hwbp2;dr1
????mov????dword?ptr[edx+0x0c],offset?hwbp3;dr2
????mov????dword?ptr[edx+0x10],offset?hwbp4;dr3
????mov????dword?ptr[edx+0x18],0x155;dr7
????ret
????;3.EXCEPTION_SINGLE_STEP
Ex_next3:
????cmp??ecx,0x80000004
????jne????rt_label
????;CONTEXT_Eax
????inc????byte?ptr[edx+0xb0]
????ret
??}
2.26?FD_INT_2d()
在windows?anti-debug?reference中指出,如果程序未被调试这个中断将会生产一个断点异常.?被调试并且未使用跟踪标志执行这个指令,?将不会有异常产生程序正常执行.?如果被调试并且指令被跟踪,?尾随的字节将被跳过并且执行继续.?因此,?使用?INT?2Dh?能作为一个强有力的反调试和反跟踪机制。
??__try
??{
????__asm
????{
????????int?2dh
??????inc?eax;any?opcode?of?singlebyte.
??????;or?u?can?put?some?junkcode,"0xc8"..."0xc2"..."0xe8"..."0xe9"
????}
??return?true;
??}
??__except(1)
??{
????return?false;
??}
三、??检测-专用调试器(FS_)
????这一部分是我比较喜欢的,但内容还不是很丰富,比如:
1、??针对SoftIce的检测方法有很多,但由于我从没使用过Softice,也没有条件去测试,所以没有给出太多,有兴趣的可以自己查阅资料进行补充,针对softice网上资料较多,或查阅《软件加解密技术》。
2、??同样,这里也没有给出windbg等等其它调试器的检测方法。
3、??而针对Odplugin,也只给了几种HideOD的检测。事实上,目前OD的使用者通常都使用众多的强大插件,当OD的反调试越来越普遍时,自己设计几款常用的OD插件的反调试,将会是非常有效的反调试手段。
4、??对VME的检测也只给出了两种,如想丰富这一部分可以参考Peter?Ferrie的一篇anti-vme的文章(http://bbs.pediy.com/showthread.php?t=68411)。里面有非常多的anti-vme方法。
????针对专用调试器的函数列表如下:
//find?specific?debugger
bool?FS_OD_Exception_GuardPages();
bool?FS_OD_Int3_Pushfd();
bool?FS_SI_UnhandledExceptionFilter();
bool?FS_ODP_Process32NextW();
bool?FS_ODP_OutputDebugStringA();
bool?FS_ODP_OpenProcess();
bool?FS_ODP_CheckRemoteDebuggerPresent();
bool?FS_ODP_ZwSetInformationThread();
bool?FS_SI_Exception_Int1();
bool?IsInsideVMWare_();
bool?FV_VMWare_VMX();
bool?FV_VPC_Exception();
int?FV_VME_RedPill();//0:none,1:vmvare;2:vpc;3:others
3.1?FS_OD_Exception_GuardPages
????“保护页异常”是一个简单的反调试技巧。当应用程序尝试执行保护页内的代码时,将会产生一个EXCEPTION_GUARD_PAGE(0x80000001)异常,但如果存在调试器,调试器有可能接收这个异常,并允许该程序继续运行,事实上,在OD中就是这样处理的,OD使用保护页来实现内存断点。
最开始实现时忘记了free申请的空间,多谢sessiondiy提醒。
??SYSTEM_INFO?sSysInfo;
??LPVOID?lpvBase;
??BYTE?*?lptmpB;
??GetSystemInfo(&sSysInfo);
??DWORD?dwPageSize=sSysInfo.dwPageSize;
??DWORD?flOldProtect;
??DWORD?dwErrorcode;
??lpvBase=VirtualAlloc(NULL,dwPageSize,MEM_COMMIT,PAGE_READWRITE);
??if(lpvBase==NULL)
????return?false;
??
??lptmpB=(BYTE?*)lpvBase;
??*lptmpB=0xc3;//retn
??VirtualProtect(lpvBase,dwPageSize,PAGE_EXECUTE_READ?|?PAGE_GUARD,&flOldProtect);
??
??__try
??{
????__asm??call?dword?ptr[lpvBase];
????VirtualFree(lpvBase,0,MEM_RELEASE);
????return?true;
??}
??__except(1)
??{
????VirtualFree(lpvBase,0,MEM_RELEASE);
????return?false;
??}
3.2?FS_OD_Int3_Pushfd
????这是个最近比较牛X的反调试,据称是vmp1.64里发现的,好像ttprotect里面也有使用,我没有验证。Pediy里有帖子详细讨论,我是看到gkend的分析,才搞懂一些。下面摘自gkend分析
????int3,pushfd和int3,popfd一样的效果。只要修改int3后面的popfd为其他值,OD都能通过。老掉牙的技术又重新被用了。SEH异常机制的运用而已。 ????原理:在SEH异常处理中设置了硬件断点DR0=EIP+2,并把EIP的值加2,那么应该在int3,popfd后面的指令执行时会产生单步异常。但是OD遇到前面是popfd/pushfd时,OD会自动在popfd后一指令处设置硬件断点,而VMP的seh异常处理会判断是否已经设置硬件断点,如果已经有硬件断点就不产生单步异常,所以不能正常执行。
????大家也可以仔细研究下OD下的pushfd,popfd等指令,相信利用它们可以构造很多反调试,下面是我实现的一个,不过现在看起来有点没看懂,不知当时为什么用了两个int3。
??__asm
??{
????push???offset?e_handler;?set?exception?handler
????push??dword?ptr?fs:[0h]
????mov????dword?ptr?fs:[0h],esp??
????xor???eax,eax;reset?EAX?invoke?int3
????int????3h
????pushfd
????nop
????nop
????nop
????nop
????pop????dword?ptr?fs:[0h];restore?exception?handler
????add???esp,4
????test???eax,eax;?check?the?flag?
????je????rf_label
????jmp????rt_label
e_handler:
????push???offset?e_handler1;?set?exception?handler
????push??dword?ptr?fs:[0h]
????mov????dword?ptr?fs:[0h],esp??
????xor???eax,eax;reset?EAX?invoke?int3
????int????3h
????nop
????pop????dword?ptr?fs:[0h];restore?exception?handler
????add???esp,4
????;EAX?=?ContextRecord
????mov????ebx,eax;dr0=>ebx
????mov???eax,dword?ptr?[esp+0xc]
????;set?ContextRecord.EIP
????inc???dword?ptr?[eax+0xb8];
????mov????dword?ptr?[eax+0xb0],ebx;dr0=>eax
????xor????eax,eax
????retn
e_handler1:
????;EAX?=?ContextRecord
????mov???eax,dword?ptr?[esp+0xc]
????;set?ContextRecord.EIP
????inc???dword?ptr?[eax+0xb8];
????mov????ebx,dword?ptr[eax+0x04]
????mov????dword?ptr?[eax+0xb0],ebx;dr0=>eax
????xor????eax,eax
????retn
rt_label:
????xor??eax,eax
????inc?eax
????mov?esp,ebp
????pop??ebp
????retn
rf_label:
????xor?eax,eax
????mov?esp,ebp
????pop?ebp
????retn
??}
3.3?FS_SI_UnhandledExceptionFilter
????这个针对SoftIce的反调试很简单,好像是SoftIce会修改UnhandledExceptionFilter这个函数的第一个字节为CC。因此判断这个字节是否为cc,就是一种检查softice的简便方法。
FARPROC?Uaddr?;
BYTE?tmpB?=?0;
(FARPROC&)?Uaddr?=GetProcAddress?(?GetModuleHandle("kernel32.dll"),"UnhandledExceptionFilter");
tmpB?=?*((BYTE*)Uaddr);???//?取UnhandledExceptionFilter函数第一字节
tmpB=tmpB^0x55;
if(tmpB?==0x99)???????????//?如该字节为CC,则SoftICE己加载
??return?true;
else??
??return?false;
3.4?FS_ODP_Process32NextW
????当我在调试FD_parentprocess时,感觉总是怪怪的,使用OD时运行Process32NextW总是返回失败,搞了一个晚上,才搞懂原来是OD的插件HideOD在作怪。当HideOD的Process32NextW的选项被选中时,它会更改Process32NextW的返回值,使其始终返回false,这主要是HideOD针对FD_parentprocess这个反调试的一个反反调试。但也正是这一点暴露的它的存在。
??int?OSVersion;
??FARPROC?Func_addr;
??WORD?tmpW;
??//1.Process32Next
??HMODULE?hModule?=?GetModuleHandle("kernel32.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,"Process32NextW");
??if?(Func_addr?!=?NULL)?
??{
????tmpW=*(WORD*)Func_addr;
????OSVersion=myGetOSVersion();
????switch(OSVersion)
????{
????case?OS_winxp:
??????if(tmpW!=0xFF8B)//maybe?option?of?Process32Next?is?selected.
????????return?true;
??????break;
????default:
??????if(tmpW==0xC033)
????????return?true;
??????break;
????}
??}
????但上面的代码并不完美,因为有跨平台问题,所以要先获得当前操作系统版本。目前只在win2k和winxp下进行了测试。
3.5?FS_ODP_OutputDebugStringA
????同样,HIDEOD的OutputDebugStringA选项,也对OutputDebugStringA这个api做了处理,具体修改内容我记不得了,大家可以自己比对一下。我的代码如下:
??int?OSVersion;
??FARPROC?Func_addr;
??WORD?tmpW;
??//2.OutputDebugStringA
??HMODULE?hModule?=?GetModuleHandle("kernel32.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,"OutputDebugStringA");
??if?(Func_addr?!=?NULL)?
??{
????tmpW=*(WORD*)Func_addr;
????OSVersion=myGetOSVersion();
????switch(OSVersion)
????{
????case?OS_winxp:
??????if(tmpW!=0x3468)//maybe?option?of?OutputDebugStringAt?is?selected.
????????return?true;
??????break;
????default:
??????if(tmpW==0x01e8)
????????return?true;
??????break;
????}
??}
??return?false;
3.6?FS_ODP_OpenProcess
????这个据称这个是针对HideDebugger这个插件的,当这个插件开启时,它会挂钩OpenProcess这个函数,它修改了OpenProcess的前几个字节。因此检测这几个字节就可实现这个反调试。
??FARPROC?Func_addr;
??BYTE?tmpB;
??//OpenProcess
??HMODULE?hModule?=?GetModuleHandle("kernel32.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,"OpenProcess");
??if?(Func_addr?!=?NULL)?
??{
????tmpB=*((BYTE*)Func_addr+6);
????if(tmpB==0xea)//HideDebugger?Plugin?of?OD?is?present
????????return?true;
??}
??return?false;
3.7?FS_ODP_CheckRemoteDebuggerPresent
????和前面提到的两个HideOD的反调试类似,不多说了。大家可以自行比对一下开启和不开启HideOD时,CheckRemoteDebuggerPresent函数的异同,就可以设计反这个插件的反调试了。
??int?OSVersion;
??FARPROC?Func_addr;
??BYTE?tmpB;
??//2.CheckRemoteDebuggerPresent
??HMODULE?hModule?=?GetModuleHandle("kernel32.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,"CheckRemoteDebuggerPresent");
??if?(Func_addr?!=?NULL)?
??{
????tmpB=*((BYTE*)Func_addr+10);
????OSVersion=myGetOSVersion();
????switch(OSVersion)
????{
????case?OS_winxp:
??????if(tmpB!=0x74)//HideOD?is?present
????????return?true;
??????break;
????default:
??????break;
????}
??}
??return?false;
3.8?FS_ODP_ZwSetInformationThread
????和前面提到的几个HideOD的反调试类似,大家可以自行比对一下开启和不开启HideOD时,ZwSetInformationThread函数的异同,就可以设计反这个插件的反调试了。
??int?OSVersion;
??FARPROC?Func_addr;
??WORD?tmpW;
??BYTE?tmpB0,tmpB1;
??//2.CheckRemoteDebuggerPresent
??HMODULE?hModule?=?GetModuleHandle("ntdll.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,"ZwSetInformationThread");
??if?(Func_addr?!=?NULL)?
??{
????tmpW=*((WORD*)Func_addr+3);
????tmpB0=*((BYTE*)Func_addr+9);
????tmpB1=*((BYTE*)Func_addr+10);
????OSVersion=myGetOSVersion();
????switch(OSVersion)
????{
????case?OS_winxp:
??????if(tmpW!=0x0300)//HideOD?is?present
????????return?true;
??????break;
????case?OS_win2k:
??????if((tmpB0!=0xcd)&&(tmpB1!=0x2e))
????????return?true;
??????break;
????default:
??????break;
????}
??}
??return?false;
3.9?FS_SI_Exception_Int1
????通常int1的DPL为0,这表示"cd?01"机器码不能在3环下执行。如果直接执行这个中断将会产生一个保护错误,windows会产生一个EXCEPTION_ACCESS_VIOLATION?(0xc0000005)异常。然而,如果SOFTICE正在运行,它挂钩了int1,并调整其DPL为3。这样SoftICE就可以在用户模式执行单步操作了。
????当int?1发生时,SoftICE不检查它是由于陷阱标志位还是由软件中断产生,SoftICE总是去调用原始中断1的句柄,此时将会产生一个EXCEPTION_SINGLE_STEP?(0x80000004)而不是EXCEPTION_ACCESS_VIOLATION?(0xc0000005)异常,这就形成了一个简单的反调试方法。
??__asm
??{
????push???offset?eh_int1;?set?exception?handler
????push??dword?ptr?fs:[0h]
????mov????dword?ptr?fs:[0h],esp??
????xor???eax,eax;reset?flag(EAX)?invoke?int3
????int????1h
????pop????dword?ptr?fs:[0h];restore?exception?handler
????add???esp,4
????cmp????eax,0x80000004;?check?the?flag?
????je????rt_label_int1
????jmp????rf_label_int1
eh_int1:
????mov????eax,[esp+0x4];
????mov????ebx,dword?ptr?[eax];
????mov???eax,dword?ptr?[esp+0xc];EAX?=?ContextRecord
????mov????dword?ptr?[eax+0xb0],ebx;set?flag?(ContextRecord.EAX)
????inc???dword?ptr?[eax+0xb8];set?ContextRecord.EIP
????inc???dword?ptr?[eax+0xb8];set?ContextRecord.EIP
????xor???eax,eax
????retn
??}
3.10?FV_VMWare_VMX
????这是一个针对VMWare虚拟机仿真环境的反调试,我从网上直接拷贝的代码。
????VMWARE提供一种主机和客户机之间的通信方法,这可以被用做一种VMWare的反调试。Vmware将会处理IN?(端口为0x5658/’VX’)指令,它会返回一个majic数值“VMXh”到EBX中。
????当在保护模式操作系统的3环下运行时,IN指令的执行将会产生一个异常,除非我们修改了I/O的优先级等级。然而,如果在VMWare下运行,将不会产生任何异常,同时EBX寄存器将会包含’VMXh’,ECX寄存器也会被修改为Vmware的产品ID。
????这种技巧在一些病毒中比较常用。
????针对VME的反调试,在peter?Ferrie的另一篇文章<<Attacks?on?More?Virtual?Machine?Emulators>>中有大量的描述,有兴趣的可以根据这篇文章,将FV_反调试好好丰富一下。
bool?IsInsideVMWare_()
{
??bool?r;
??_asm
??{
????push???edx
????push???ecx
????push???ebx
????mov????eax,?'VMXh'
????mov????ebx,?0?//?any?value?but?MAGIC?VALUE
????mov????ecx,?10?//?get?VMWare?version
????mov????edx,?'VX'?//?port?number
????in?????eax,?dx?//?read?port
???????????????????//?on?return?EAX?returns?the?VERSION
????cmp????ebx,?'VMXh'?//?is?it?a?reply?from?VMWare?
????setz???[r]?//?set?return?value
????pop????ebx
????pop????ecx
????pop????edx
??}
??return?r;
}
bool?FV_VMWare_VMX()
{
??__try
??{
????return?IsInsideVMWare_();
??}
??__except(1)?//?1?=?EXCEPTION_EXECUTE_HANDLER
??{
????return?false;
??}
}
3.11?FV_VPC_Exception
????这个代码我也是完整从网上拷贝下来的,具体原理在<<Attacks?on?More?Virtual?Machine?Emulators>>这篇文章里也有详细描述。与VMWare使用一个特殊端口完成主机和客户机间通信的方法类似的是,VirtualPC靠执行非法指令产生一个异常供内核捕获。这个代码如下:
0F?3F?x1?x2 0F?C7?C8?y1?y2
__declspec(naked)?bool?FV_VPC_Exception()
{
??_asm
??{
????push?ebp
????mov??ebp,?esp
????mov??ecx,?offset?exception_handler
????push?ebx
????push?ecx
????push?dword?ptr?fs:[0]
????mov??dword?ptr?fs:[0],?esp
????mov??ebx,?0?//?Flag
????mov??eax,?1?//?VPC?function?number
??}
????//?call?VPC?
???_asm?__emit?0Fh
???_asm?__emit?3Fh
???_asm?__emit?07h
???_asm?__emit?0Bh
??_asm
??{
????mov?eax,?dword?ptr?ss:[esp]
????mov?dword?ptr?fs:[0],?eax
????add?esp,?8
????test?ebx,?ebx
????
????setz?al
????lea?esp,?dword?ptr?ss:[ebp-4]
????mov?ebx,?dword?ptr?ss:[esp]
????mov?ebp,?dword?ptr?ss:[esp+4]
????add?esp,?8
????jmp?ret1
exception_handler:
????mov?ecx,?[esp+0Ch]
????mov?dword?ptr?[ecx+0A4h],?-1?//?EBX?=?-1?->?not?running,?ebx?=?0?->?running
????add?dword?ptr?[ecx+0B8h],?4?//?->?skip?past?the?call?to?VPC
????xor?eax,?eax?//?exception?is?handled
????ret
?ret1:
????ret
??}
}
3.12?FV_VME_RedPill
????这个方法似乎是检测虚拟机的一个简单有效的方法,虽然还不能确定它是否是100%有效。名字很有意思,红色药丸(为什么不是bluepill,哈哈)。我在网上找到了个ppt专门介绍这个方法,可惜现在翻不到了。记忆中原理是这样的,主要检测IDT的数值,如果这个数值超过了某个数值,我们就可以认为应用程序处于虚拟环境中,似乎这个方法在多CPU的机器中并不可靠。据称ScoobyDoo方法是RedPill的升级版。代码也是在网上找的,做了点小改动。有四种返回结果,可以确认是VMWare,还是VirtualPC,还是其它VME,或是没有处于VME中。
???//return?value:??0:none,1:vmvare;2:vpc;3:others
???unsigned?char?matrix[6];
????unsigned?char?redpill[]?=?
????????"\x0f\x01\x0d\x00\x00\x00\x00\xc3";
????HANDLE?hProcess?=?GetCurrentProcess();
????LPVOID?lpAddress?=?NULL;
????PDWORD?lpflOldProtect?=?NULL;
????__try
????{
????????*((unsigned*)&redpill[3])?=?(unsigned)matrix;
????????lpAddress?=?VirtualAllocEx(hProcess,?NULL,?6,?MEM_RESERVE|MEM_COMMIT?,?PAGE_EXECUTE_READWRITE);
????????
????????if(lpAddress?==?NULL)
????????????return?0;
????????BOOL?success?=?VirtualProtectEx(hProcess,?lpAddress,?6,?PAGE_EXECUTE_READWRITE?,?lpflOldProtect);
????????if(success?!=?0)
?????????????return?0;
???
????????memcpy(lpAddress,?redpill,?8);
????????((void(*)())lpAddress)();
????????if?(matrix[5]>0xd0)?
????????{
??????????if(matrix[5]==0xff)//vmvare
????????????return?1;
??????????else?if(matrix[5]==0xe8)//vitualpc
????????????return?2;
??????????else
????????????return?3;
????????}
????????else?
????????????return?0;
????}
????__finally
????{
????????VirtualFreeEx(hProcess,?lpAddress,?0,?MEM_RELEASE);
????}
四、??检测-断点(FB_)
这一部分内容较少,但实际上可用的方法也比较多,我没有深入研究,不敢乱写,照抄了几个常用的方法:
//find?breakpoint
bool?FB_HWBP_Exception();
DWORD?FB_SWBP_Memory_CRC();
bool?FB_SWBP_ScanCC(BYTE?*?addr,int?len);
bool?FB_SWBP_CheckSum_Thread(BYTE?*addr_begin,BYTE?*addr_end,DWORD?sumValue);
4.1?FB_HWBP_Exception
??在异常处理程序中检测硬件断点,是比较常用的硬件断点检测方法。在很多地方都有提到。
??__asm
??{
????push???offset?exeception_handler;?set?exception?handler
????push???dword?ptr?fs:[0h]
????mov????dword?ptr?fs:[0h],esp??
????xor????eax,eax;reset?EAX?invoke?int3
????int????1h
????pop????dword?ptr?fs:[0h];restore?exception?handler
????add????esp,4
????;test?if?EAX?was?updated?(breakpoint?identified)?
????test???eax,eax
????jnz?????rt_label
????jmp????rf_label
exeception_handler:
????;EAX?=?CONTEXT?record
????mov?????eax,dword?ptr?[esp+0xc]
????;check?if?Debug?Registers?Context.Dr0-Dr3?is?not?zero
????cmp?????dword?ptr?[eax+0x04],0
????jne?????hardware_bp_found
????cmp?????dword?ptr?[eax+0x08],0
????jne?????hardware_bp_found
????cmp?????dword?ptr?[eax+0x0c],0
????jne?????hardware_bp_found
????cmp?????dword?ptr?[eax+0x10],0
????jne?????hardware_bp_found
????jmp?????exception_ret
hardware_bp_found:
????;set?Context.EAX?to?signal?breakpoint?found
????mov?????dword?ptr?[eax+0xb0],0xFFFFFFFF
exception_ret:
????;set?Context.EIP?upon?return
????inc???????dword?ptr?[eax+0xb8];set?ContextRecord.EIP
????inc???????dword?ptr?[eax+0xb8];set?ContextRecord.EIP
????xor?????eax,eax
????retn
??}
4.2?FB_SWBP_Memory_CRC()
??由于在一些常用调试器中,比如OD,其是将代码设置为0xcc来实现普通断点,因此当一段代码被设置了普通断点,则其中必定有代码的修改。因此对关键代码进行CRC校验则可以实现侦测普通断点。但麻烦的是每次代码修改,或更换编译环境,都要重新设置CRC校验值。
??下面的代码拷贝自《软件加解密技术》,里面完成的是对整个代码段的CRC校验,CRC校验值保存在数据段。CRC32算法实现代码网上有很多,就不列出来了。
DWORD?FB_SWBP_Memory_CRC()
{
??//打开文件以获得文件的大小
??DWORD?fileSize,NumberOfBytesRW;
??DWORD?CodeSectionRVA,CodeSectionSize,NumberOfRvaAndSizes,DataDirectorySize,ImageBase;
??BYTE*?pMZheader;
??DWORD?pPEheaderRVA;
??TCHAR??*pBuffer?;
??TCHAR?szFileName[MAX_PATH];?
??GetModuleFileName(NULL,szFileName,MAX_PATH);
??//打开文件
??HANDLE?hFile?=?CreateFile(
????szFileName,
????GENERIC_READ,
????FILE_SHARE_READ,?
????NULL,
????OPEN_EXISTING,
????FILE_ATTRIBUTE_NORMAL,
????NULL);
???if?(?hFile?!=?INVALID_HANDLE_VALUE?)
???{
????//获得文件长度?:
????fileSize?=?GetFileSize(hFile,NULL);
????if?(fileSize?==?0xFFFFFFFF)?return?0;
????pBuffer?=?new?TCHAR?[fileSize];?????////?申请内存,也可用VirtualAlloc等函数申请内存
????ReadFile(hFile,pBuffer,?fileSize,?&NumberOfBytesRW,?NULL);//读取文件内容
????CloseHandle(hFile);??//关闭文件
???}
???else
?????return?0;
??pMZheader=(BYTE*)pBuffer;?//此时pMZheader指向文件头
??pPEheaderRVA?=?*(DWORD?*)(pMZheader+0x3c);//读3ch处的PE文件头指针
??///定位到PE文件头(即字串“PE\0\0”处)前4个字节处,并读出储存在这里的CRC-32值:
??NumberOfRvaAndSizes=*((DWORD?*)(pMZheader+pPEheaderRVA+0x74));//得到数据目录结构数量
??DataDirectorySize=NumberOfRvaAndSizes*0x8;//得到数据目录结构大小
??ImageBase=*((DWORD?*)(pMZheader+pPEheaderRVA+0x34));//得到基地址
??//假设第一个区块就是代码区块
??CodeSectionRVA=*((DWORD?*)(pMZheader+pPEheaderRVA+0x78+DataDirectorySize+0xc));//得到代码块的RVA值
??CodeSectionSize=*((DWORD?*)(pMZheader+pPEheaderRVA+0x78+DataDirectorySize+0x8));///得到代码块的内存大小
??delete?pBuffer;??//?释放内存
??return?CRC32((BYTE*)(CodeSectionRVA+ImageBase),CodeSectionSize);
}
4.3?FB_SWBP_ScanCC
扫描CC的方法,比照前面校验代码CRC数值的方法更直接一些,它直接在所要检测的代码区域内检测是否有代码被更改为0xCC,0xcc对应汇编指令为int3?,对一些常用的调试器(如OD)其普通断点就是通过修改代码为int3来实现的。但使用时要注意是否正常代码中就包含CC。通常这个方法用于扫描API函数的前几个字节,比如检测常用的MessageBoxA、GetDlgItemTextA等。
bool?FB_SWBP_ScanCC(BYTE?*?addr,int?len)
{
??FARPROC?Func_addr?;
??HMODULE?hModule?=?GetModuleHandle("USER32.dll");?
??(FARPROC&)?Func_addr?=GetProcAddress?(?hModule,?"MessageBoxA");
??if?(addr==NULL)
????addr=(BYTE?*)Func_addr;//for?test
??BYTE?tmpB;
??int?i;
??__try
??{
????for(i=0;i<len;i++,addr++)
????{
??????tmpB=*addr;
??????tmpB=tmpB^0x55;
??????if(tmpB==0x99)//?cmp?0xcc
????????return?true;
????}
??}
??__except(1)
????return?false;
??return?false;
}
??
4.4?FB_SWBP_CheckSum_Thread(BYTE?*addr_begin,BYTE?*addr_end,DWORD?sumValue);
此方法类似CRC的方法,只是这里是检测累加和。它与CRC的方法有同样的问题,就是要在编译后,计算累加和的数值,再将该值保存到数据区,重新编译。在这里创建了一个单独的线程用来监视代码段。
DWORD?WINAPI?CheckSum_ThreadFunc(?LPVOID?lpParam?)?
{?
??DWORD?dwThrdParam[3];
??BYTE?tmpB;
??DWORD?Value=0;
??dwThrdParam[0]=*?((DWORD?*)lpParam);
?????dwThrdParam[1]=*?((DWORD?*)lpParam+1);
??????dwThrdParam[2]=*?((DWORD?*)lpParam+2);
??BYTE?*addr_begin=(BYTE?*)dwThrdParam[0];
??BYTE?*addr_end=(BYTE?*)dwThrdParam[1];
??DWORD?sumValue=dwThrdParam[2];
??for(int?i=0;i<(addr_end-addr_begin);i++)
????Value=Value+*(addr_begin+i);
??/*?//if?sumvalue?is?const,it?should?be?substract.
??DWORD?tmpValue;
??Value=Value-(sumValue&0x000000FF);
??tmpValue=(sumValue&0x0000FF00)>>8;
??Value=Value-tmpValue;
??tmpValue=(sumValue&0x0000FF00)>>16;
??Value=Value-tmpValue;
??tmpValue=(sumValue&0x0000FF00)>>24;
??Value=Value-tmpValue;*/
??if?(Value!=sumValue)
????MessageBox(NULL,"SWBP?is?found?by?CheckSum_ThreadFunc","CheckSum_ThreadFunc",MB_OK|MB_ICONSTOP);
????return?1;?
}
bool?FB_SWBP_CheckSum_Thread(BYTE?*addr_begin,BYTE?*addr_end,DWORD?sumValue)
{
????DWORD?dwThreadId;
??DWORD?dwThrdParam[3];
??dwThrdParam[0]=(DWORD)addr_begin;
??dwThrdParam[1]=(DWORD)addr_end;
??dwThrdParam[2]=sumValue;
????HANDLE?hThread;?
????hThread?=?CreateThread(?
????????NULL,????????????????????????//?default?security?attributes?
????????0,???????????????????????????//?use?default?stack?size??
????????CheckSum_ThreadFunc,?????????//?thread?function?
????????&dwThrdParam[0],????????????????//?argument?to?thread?function?
????????0,???????????????????????????//?use?default?creation?flags?
????????&dwThreadId);????????????????//?returns?the?thread?identifier?
????//?Check?the?return?value?for?success.?
?
???if?(hThread?==?NULL)?
??????return?false;
???else?
???{
??????Sleep(1000);
??????CloseHandle(?hThread?);
????return?true;
???}
}
五、??检测-跟踪(FT_)
个人认为,反跟踪的一些技巧,多数不会非常有效,因为在调试时,多数不会被跟踪经过,除非用高超的技巧将关键代码和垃圾代码及这些反跟踪技巧融合在一起,否则很容易被发现或被无意中跳过。
函数列表如下:
//Find?Single-Step?or?Trace
bool?FT_PushSS_PopSS();
void?FT_RDTSC(unsigned?int?*?time);
DWORD?FT_GetTickCount();
DWORD?FT_SharedUserData_TickCount();
DWORD?FT_timeGetTime();
LONGLONG?FT_QueryPerformanceCounter(LARGE_INTEGER?*lpPerformanceCount);
bool?FT_F1_IceBreakpoint();
bool?FT_Prefetch_queue_nop1();
bool?FT_Prefetch_queue_nop2();
5.1?FT_PushSS_PopSS
这个反调试在<<windows?anti-debug?reference>>里有描述,如果调试器跟踪经过下面的指令序列:
??__asm
??{
????push?ss????//反跟踪指令序列
????;junk
????pop??ss????//反跟踪指令序列
????pushf????//反跟踪指令序列
????;junk
????pop?eax????//反跟踪指令序列
}
Pushf将会被执行,同时调试器无法设置压进堆栈的陷阱标志,应用程序通过检测陷阱标志就可以判断处是否被跟踪调试。
??__asm
??{
????push?ebp
????mov?ebp,esp
????push?ss????//反跟踪指令序列
????;junk
????pop??ss????//反跟踪指令序列
????pushf????//反跟踪指令序列
????;junk
????pop?eax????//反跟踪指令序列
????and??eax,0x00000100
????jnz??rt_label
????xor?eax,eax
????mov?esp,ebp
????pop?ebp
????retn
rt_label:
????xor?eax,eax
????inc?eax
????mov?esp,ebp
????pop?ebp
????retn
??}
5.2?FT_RDTSC
通过检测某段程序执行的时间间隔,可以判断出程序是否被跟踪调试,被跟踪调试的代码通常都有较大的时间延迟,检测时间间隔的方法有很多种。比如RDTSC指令,kernel32_GetTickCount函数,winmm_?timeGetTime?函数等等。
下面为RDTSC的实现代码。
??int?time_low,time_high;
??__asm
??{
????rdtsc
????mov????time_low,eax
????mov????time_high,edx
??}
5.3?FT_GetTickCount
??GetTickCount函数检测时间间隔简单且常用。直接调用即可。具体可查MSDN。
5.4?FT_SharedUserData_TickCount
??直接调用GetTickCount函数来检测时间间隔的方法,虽然简单却容易被发现。而使用GetTickCount的内部实现代码,直接读取SharedUserData数据结构里的数据的方法,更隐蔽些。下面的代码是直接从GetTickCount里扣出来的,其应该是在位于0x7FFE0000地址处的SharedUserData数据接口里面直接取数据,不过这个代码应该有跨平台的问题,我这里没有处理。大家可以完善下。
??DWORD?tmpD;
??__asm
??{
????mov?????edx,?0x7FFE0000
????mov?????eax,?dword?ptr?[edx]
????mul?????dword?ptr?[edx+4]
????shrd????eax,?edx,?0x18
????mov????tmpD,eax
??}
??return?tmpD;
5.5?FT_timeGetTime
??使用winmm里的timeGetTime的方法也可以用来检测时间间隔。直接调用这个函数即可。具体可查MSDN。
5.6?FT_QueryPerformanceCounter
??这是一种高精度时间计数器的方法,它的检测刻度最小,更精确。
??if(QueryPerformanceCounter(lpPerformanceCount))
????????return?lpPerformanceCount->QuadPart;
??else?
?????return?0;
5.7?FT_F1_IceBreakpoint
??在<<Windows?anti-debug?reference>>中有讲述这个反跟踪技巧。这个所谓的"Ice?breakpoint"?是Intel?未公开的指令之一,?机器码为0xF1.执行这个指令将产生单步异常.,如果程序已经被跟踪,?调试器将会以为它是通过设置标志寄存器中的单步标志位生成的正常异常.?相关的异常处理器将不会被执行到.下面是我的实现代码:
__asm
??{
??push???offset?eh_f1;?set?exception?handler
?????push??dword?ptr?fs:[0h]
?????mov????dword?ptr?fs:[0h],esp??
?????xor???eax,eax;reset?EAX?invoke?int3
?????_emit?0xf1
?????pop????dword?ptr?fs:[0h];restore?exception?handler
?????add????esp,4
??test??eax,eax
??jz????rt_label_f1
??jmp????rf_label_f1
eh_f1:
?????mov?eax,dword?ptr[esp+0xc]
??mov????dword?ptr?[eax+0xb0],0x00000001;set?flag?(ContextRecord.EAX)
?????inc?dword?ptr?[eax+0xb8]
?????xor?eax,eax
?????retn
rt_label_f1:
??inc????eax
??mov????esp,ebp
?????pop????ebp
?????retn
rf_label_f1:
??xor????eax,eax
??mov????esp,ebp
?????pop????ebp
?????retn
??}
?
5.8?FT_Prefetch_queue_nop1
这个反调试是在<<ANTI-UNPACKER?TRICKS>>中给出的,它主要是基于REP指令,通过REP指令来修改自身代码,在非调试态下,计算机会将该指令完整取过来,因此可以正确的执行REP这个指令,将自身代码完整修改,但在调试态下,则在修改自身的时候立即跳出。
这个反跟踪技巧个人觉得用处不大,因为只有在REP指令上使用F7单步时,才会触发这个反跟踪,而我个人在碰到REP时,通常都是F8步过。下面是利用这个CPU预取指令的特性的实现反跟踪的一种方法,正常情况下,REP指令会修改其后的跳转指令,进入正常的程序流程,但在调试态下,其无法完成对其后代码的修改,从而实现反调试。
???DWORD?oldProtect;
???DWORD?tmpProtect;
???__asm
???{
????lea?eax,dword?ptr[oldProtect]
????push?eax
????push?0x40
????push?0x10
????push?offset?label3;
????call?dword?ptr?[VirtualProtect];
????nop
label3:
????mov?al,0x90
????push?0x10
????pop?ecx
????mov?edi,offset?label3
????rep?stosb
????jmp?rt_label
????nop
????nop
????nop
????nop
????nop
rf_label:
????;write?back
????mov?dword?ptr[label3],0x106a90b0
????mov?dword?ptr[label3+0x4],0x205CBF59
????mov?dword?ptr[label3+0x8],0xAAF30040
????mov?dword?ptr[label3+0xc],0x90909090
????mov?dword?ptr[label3+0x6],offset?label3
????lea?eax,?dword?ptr[tmpProtect];
????;restore?protect
????push?eax
????push?oldProtect
????push?0x10
????push?offset?label3;
????call?dword?ptr?[VirtualProtect];
????xor?eax,eax
????mov?esp,ebp
????pop?ebp
????retn
rt_label:
????;write?back
????mov?dword?ptr[label3],0x106a90b0
????mov?dword?ptr[label3+0x4],0x205CBF59
????mov?dword?ptr[label3+0x8],0xAAF30040
????mov?dword?ptr[label3+0xc],0x90909090
????mov?dword?ptr[label3+0x6],offset?label3
????lea?eax,?dword?ptr[tmpProtect];
????;restore?protect
????push?eax
????push?oldProtect
????push?0x10
????push?offset?label3;
????call?dword?ptr?[VirtualProtect];
????xor?eax,eax
????inc?eax
????mov?esp,ebp
????pop?ebp
????retn
??}
5.9?FT_Prefetch_queue_nop2
??与5.8节类似,这是根据CPU预取指令的这个特性实现的另一种反跟踪技巧。原理是通过检测REP指令后的ECX值,来判断REP指令是否被完整执行。在正常情况下,REP指令完整执行后,ECX值应为0;但在调试态下,由于REP指令没有完整执行,ECX值为非0值。通过检测ECX值,实现反跟踪。
??DWORD?oldProtect;
??DWORD?tmpProtect;
??__asm
??{
????lea?eax,dword?ptr[oldProtect]
????push?eax
????push?0x40
????push?0x10
????push?offset?label3;
????call?dword?ptr?[VirtualProtect];
????mov?ecx,0
label3:
????mov?al,0x90
????push?0x10
????pop?ecx
????mov?edi,offset?label3
????rep?stosb
????nop
????nop
????nop
????nop
????nop
????nop
????push?ecx
????;write?back
????mov?dword?ptr[label3],0x106a90b0
????mov?dword?ptr[label3+0x4],0x201CBF59
????mov?dword?ptr[label3+0x8],0xAAF30040
????mov?dword?ptr[label3+0xc],0x90909090
????mov?dword?ptr[label3+0x6],offset?label3
????lea?eax,?dword?ptr[tmpProtect];
????;restore?protect
????push?eax
????push?oldProtect
????push?0x10
????push?offset?label3;
????call?dword?ptr?[VirtualProtect];
????pop?ecx
????test?ecx,ecx
????jne?rt_label
??}
rf_label:
??return?false;
rt_label:
??return?true;
六、??检测-补丁(FP_)
这部分内容也较少,方法当然也有很多种,原理都差不多,我只选了下面三种。这几种方法通常在一些壳中较常用,用于检验文件是否被脱壳或被恶意修改。
函数列表如下:
//find?Patch
bool?FP_Check_FileSize(DWORD?Size);
bool?FP_Check_FileHashValue_CRC(DWORD?CRCVALUE_origin);
bool?FP_Check_FileHashValue_MD5(DWORD?MD5VALUE_origin);
6.1?FP_Check_FileSize(DWORD?Size)
??通过检验文件自身的大小的方法,是一种比较简单的文件校验方法,通常如果被脱壳,或被恶意修改,就可能影响到文件的大小。我用下面的代码实现。需注意的是,文件的大小要先编译一次,将首次编译得到的数值写入代码,再重新编译完成。
??DWORD?Current_Size;
??TCHAR?szPath[MAX_PATH];
??HANDLE?hFile;
??if(?!GetModuleFileName(?NULL,szPath,?MAX_PATH?)?)
????????return?FALSE;
??hFile?=?CreateFile(szPath,?
????GENERIC_READ?,
????FILE_SHARE_READ,?
????NULL,
????OPEN_ALWAYS,?
????FILE_ATTRIBUTE_NORMAL,?
????NULL);
??if?(hFile?==?INVALID_HANDLE_VALUE)
????return?false;
??Current_Size=GetFileSize(hFile,NULL);
??CloseHandle(hFile);
??if(Current_Size!=Size)
????return?true;
??return?false;
6.2?FP_Check_FileHashValue_CRC
??检验文件的CRC数值,是比较常用的文件校验方法,相信很多人都碰到过了,我是在《软件加解密技术》中了解到的。需注意的是文件原始CRC值的获得,及其放置位置,代码编写完成后,通常先运行一遍程序,使用调试工具获得计算得到的数值,在将这个数值写入文件中,通常这个数值不参加校验,可以放置在文件的尾部作为附加数据,也可以放在PE头中不用的域中。
??下面的代码只是个演示,没有保存CRC的真实数值,也没有单独存放。
??DWORD?fileSize,NumberOfBytesRW;
??DWORD?CRCVALUE_current;
??TCHAR?szFileName[MAX_PATH];?
??TCHAR??*pBuffer?;
??GetModuleFileName(NULL,szFileName,MAX_PATH);
??HANDLE?hFile?=?CreateFile(
????szFileName,
????GENERIC_READ,
????FILE_SHARE_READ,?
????NULL,
????OPEN_EXISTING,
????FILE_ATTRIBUTE_NORMAL,
????NULL);
??if?(hFile?!=?INVALID_HANDLE_VALUE?)
??{
????fileSize?=?GetFileSize(hFile,NULL);
????if?(fileSize?==?0xFFFFFFFF)?return?false;
????pBuffer?=?new?TCHAR?[fileSize];??
????ReadFile(hFile,pBuffer,?fileSize,?&NumberOfBytesRW,?NULL);
????CloseHandle(hFile);
??}
??CRCVALUE_current=CRC32((BYTE?*)pBuffer,fileSize);
??if(CRCVALUE_origin!=CRCVALUE_current)
????return?true;
??return?false;
6.3?FP_Check_FileHashValue_MD5
与6.2节的原理相同,只是计算的是文件的MD5数值。仍要注意6.2节中同样的MD5真实数值的获得和存放问题。
未完。