技术分享:利用异常实现反调试

2016-04-13 361412人围观 ,发现 7 个不明物体 系统安全终端安全

debug

0×01 介绍

一些文章已经介绍过通过检测异常来对抗调试器的技术。这个思想很简单:根据设计本意,调试器会处理特定的异常。如果一个异常包裹在try块中,只有当没有附加调试器的时候,异常处理程序才会执行。因此,可以得出结论,只要异常块没有执行,那么程序就正在被一个调试器调试。

0×02 一个字节的Interrupt 3中断(0xCC)

在所有会被调试器处理的异常中,interrupt 3中断算是一个,它会生成一个单字节的断点。

BOOL IsDebuggerPresent_Int3()
{
      __try
      {
            __asm int 3
      }
      __except(1)
      {
            return FALSE;
      }
 
      return TRUE;
}

0×03 两个字节的Interrupt 3中断(0xCD 0×03)

使用Visual C++内联汇编器的_emit伪指令可以生成一个两字节的interrupt 3指令。在测试的所有调试器中,只有OnllyDbg调试器识别这个异常。

BOOL IsDebuggerPresent_Int3_2Byte()
{
      __try
      {
            __asm
            {
                  __emit 0xCD
                  __emit 0x03
            }
      }
      __except(1)
      {
            return FALSE;
      }
 
      return TRUE;
}

0×04 Interrupt 0x2C中断

Interrupt 0x2C引起一个调试断言异常。WinDbg会响应这个异常,但是其它的调试器都不会处理它。这个指令可以使用_int 2c来生成。这个中断只在Vista以及之后的系统上有效。因为这一点,需要动态检查windows的版本,如果版本号小于6就返回false。

BOOL IsDebuggerPresent_Int2c()
{
      OSVERSIONINFO osvi;
 
      ZeroMemory(&osvi, sizeof(OSVERSIONINFO));
      osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
 
      GetVersionEx(&osvi);
 
      if (osvi.dwMajorVersion < 6)
            return FALSE;
 
      __try
      {
            __int2c();
      }
      __except(1)
      {
            return FALSE;
      }
 
      return TRUE;
}

0×05 Interrupt 0x2D

如果执行了interrupt 0x2D,Windows将抛出一个断点异常

BOOL IsDebuggerPresent_Int2d()
{
__try
{
__asm int 0x2d
}
__except(1)
{
return FALSE;
}

return TRUE;
}

0×06 ICEBP(0xF1)

ICEBP是一个没有文档化的指令,可以作为一个单字节的interrupt 1中断,产生一个单步异常。

BOOL IsDebuggerPresent_IceBp()
{
__try
{
__asm __emit 0xF1
}
__except(1)
{
return FALSE;
}

return TRUE;
}

0×07 陷阱标志位

EFLAGS寄存器的第八个比特位是陷阱标志位。如果设置了,就会产生一个单步异常。

BOOL IsDebuggerPresent_TrapFlag()
{
__try
{
__asm
{
pushfd
or word ptr[esp], 0x100
popfd
nop
}
}
__except(1)
{
return FALSE;
}

return TRUE;
}

0×08 抛出异常

RaiseException函数产生的若干不同类型的异常可以被调试器捕获。在RaiseException的基础上,OutputDebugString,该函数常被用来检测附加的调试器。有效的异常码如下所示:

STATUS_BREAKPOINT                                   (0x80000003)
STATUS_SINGLE_STEP                                   (0x80000004)    
DBG_PRINTEXCEPTION_C                            (0x40010006)
DBG_RIPEXCEPTION                                       (0x40010007)
DBG_CONTROL_C                                           (0x40010005)
DBG_CONTROL_BREAK                                 (0x40010008)
DBG_COMMAND_EXCEPTION                   (0x40010009)
ASSERTION_FAILURE                                     (0xC0000420)
STATUS_GUARD_PAGE_VIOLATION       (0x80000001)
SEGMENT_NOTIFICATION                           (0x40000005)
EXCEPTION_WX86_SINGLE_STEP             (0x4000001E)
EXCEPTION_WX86_BREAKPOINT              (0x4000001F)
BOOL TestExceptionCode(DWORD dwCode)
{
__try
{
RaiseException(dwCode, 0, 0, 0);
}
__except(1)
{
return FALSE;
}

return TRUE;
}

BOOL IsDebuggerPresent_RipException()
{
return TestExceptionCode(DBG_RIPEXCEPTION);
}

0×09 兼容性表

Clipboard Image.png

0×10 相关资源

Anti-unpacker tricks – part two

Anti-unpacker tricks – part three

Windows Anti-Debug Reference

Undocumented OpCodes: ICEBP

EFLAGS Individual Bit Flags

__int2c

Reversing: Secrets of Reverse Engineering

The _emit Pseudoinstruction

NTSTATUS values

* 原文:autosectools  felix翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐
发表评论

已有 7 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

52 文章数 3 评论数 5 关注者

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php