[转贴]Windows系统下的反调试机制(翻译自Symantec官网) [复制链接]

转自看雪 ~6A;
H$dr  
原文地址 ^jbjHI&  
#<K'RJ
n  
R ;k1(p  
[1]引言 z0H+Or  
{S@gjMuN  
本文对基于Windows NT的操作系统上使用的几种反调试技术进行了分类和介绍。 6E@TcN~,!  
23d*;ri5  
反调试技术是程序检测它是否在调试器（Debugger）下运行的方法。反调试技术被用于商业可执行程序的保护，加壳工具以及病毒等，以杜绝或减缓软件被逆（向工程） E-jJ!>&K  
IayF<y,8  
我们假设程序是在r3 debugger下进行分析的，例如Windows平台上的OD。本文面向逆向工程师和恶意软件分析师。 |&"/ u7^  
请注意，我们将纯粹谈论通用的反调试和反跟踪技术。此文不会涉及特定的调试器检测，例如窗口或进程的枚举，注册表扫描等。 Wr 3z%1  
'4Drs}j5  
[2]反调试和反跟踪技术 Spu> ac  
`pb=y}  
- 利用内存差 A^c  (  
|2E:]wT}qg  
(1) kernel32!IsDebuggerPresent kyi"U A82  
如果正在调试进程，则IsDebuggerPresent返回1，否则返回0。此API只读取PEB!BeingDebugged 的byte-flag（位于PEB结构中的偏移 2）。 .[r1Qz7G  
绕过它就只需要 PEB!BeingDebugged 设置为 0 2T?8{yO7  
例： ."Kp6s`k  
.wV-g:2  
s !IvUc7'  
(2) PEB!IsDebugged L\hid/NL
 
:}UjX|D  
该字段引用进程的Process Environment Block(进程环境块/区间?)中的第二个字节. 被调试期间会由系统设置为非0, 该字节可以被重置为0，而不会对程序的执行过程产生影响（因为这是一个信息标志）. 82)%`$yZw[  
h,\5C/  
例： x)jc  
?8qN8rk^+  
\3&1iA9=)  
(3) PEB!NtGlobalFlags  :yw8_D3  
当有进程被创建时，系统会设置一些标志，这些标志将定义各种API对此进程的行为。这些标志可以在PEB中被读取，位于偏移量0x68的DWORD中. iCJXV'  
默认情况下，根据是否在Debugger下创建了进程而设置不同的NtGlobalFlags标志。如果调试了该进程，将出现一些控制ntdll中的常规堆栈操作的flags： llN/  
F(去)L(掉)G_HEAP_ENABLE_TAIL_CHECK, `>4"i+NFF8  
F(去)L(掉)G_HEAP_ENABLE_FREE_CHECK, \9fJ)*-  
F(去)L(掉)G_HEAP_VALIDATE_PARAMETERS. 99\lZ{f(  
可以通过重置NtGlobalFlags字段来绕过这种反调试技术。 XRmE  
例: n8E3w:A-  
nx(jYXVT  
0.S7uH%
"  
(4) Heap flags(堆栈标志) ce3``W/H3  
:9DyABK=Cv  
如前所述，NtGlobalFlags标注常规堆栈将会出现什么样的行为。虽然很容易修改PEB字段，但如果堆栈的行为与程序未被调试的时候的行为方式不同，则可能会出现问题。这是一个挺厉害的反调试机制，因为进程堆很多，并且它们的chunks可以单独受F(去)L(掉)G_HEAP_* flags（例如chunk尾端）的影响。堆栈头部也会受到影响。例如，检查堆栈头中的字段ForceFlags（偏移量0x10）可用于检测Debugger的存在与否。 J`4V\D}n  
X$Shi *U[  
有两种简单的方法来避开这种检测机制： c|@OD3w2lM  
-mP2}BNM  
- 1.创建一个未被调试的进程，并在创建进程后附加调试器（一个简单的解决方案是创建进程挂起，直至运行达到Entry-Point，将Entry-Point跳转至无​​限循环，恢复进程，附加调试器，并恢复原始Entry-Point）。 P~#LbUP(  
'rNLh3  
- 2.通过注册表项“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”强制NtGlobalFlags为我们要调试的进程赋值：创建一个名为你要运行的进程名称的子键（非值），并在这个子键，String值“GlobalFlags”设置为空。 d\R "?Sg  
1#3eY?Nb  
例： 7z_ZD0PxPc  
JXV#V7  
Q4Nut  
(5) Vista anti-debug (没起名字)  wh#IQ.E-  
:IX,mDO  
我估计没人再用Vista了,再加上我对Vista机制也不熟悉，就偷了个懒。原文如下： U2r[.Ru  
? o&goiM  
Here's an anti-debug specific to Windows Vista that I found by comparing memory dumps of a program running with and without control of a debugger. I'm not sure of its realiability, but it's worth mentionning (tested on Windows Vista 32 bits, SP0, English version). :%g
M Xsb  
DS+BX`i%#p  
When a process is debugged, its main thread TEB, at offset 0xBFC, contains a pointer to a unicode string referencing a system dll. Moreover, the string follows this pointer (therefore, located at offset 0xC00 in the TEB). If the process is not debugged, the pointer is set to NULL and the string is not present. Kum" }ux  
O=vD6@QI  
Example: e,xJ%f  
PMi.)%++  
LSR0yCU  
- 利用系统差 *~~J1.ja>  
iGSF5S  
(1) NtQueryInformationProcess %ikPz~(  
Ey.%: O-Dv  
ntdll!NtQueryInformationProcess 是ZwQueryInformationProcess系统调用的打包 L=<$^m  
j115:f  
它的原型如下： 9K;g\? 3  
w`EC6ZN  
M6ZXq6J  
当被call时的ProcessInformationClass被设置为7(ProcessDebugPort constant)时,进程被调试的话,系统会将ProcessInformation 设置为 -1. IB$i^  
c'XSs  
这是一个强大的反调试机制，没有很简单的方法来绕开。但是，如果跟踪程序，则可以在syscall返回时修改ProcessInformation。 .F'Cb)Z  
Sz:PeUr9h  
另一种解决方案是使用系统驱动Hook ZwNtQueryInformationProcess 2%v6h  
'pyIMB?x  
绕过NtQueryInformationProcess将能绕过许多反调试机制的检测(例如CheckRemoteDebuggerPresent或UnhandledExceptionFilter) uaYI3w@^  
F >H\F@Wl  
例: [wk1p-hf  
 Ci 'V  
7xM4=\~OG  

+xAD;A4  
(2) kernel32!CheckRemoteDebuggerPresent QL @SE@"  
#)m[R5g(  
此API有两个参数:Process Handle,Ptr* DWORD. 如果调用成功，则在调试进程时，DWORD值将设置为1。 9@?|rje9  
XTA:Y7"O  
内部来说,此API将ProcessInformationClass设置为ProcessDebugPort (7)后调用ntdll!NtQueryInformationProcess H2xDC_Fs  
~1XC5.*-  
例: f*:N*cC  
39m8iI%w[  
xi=0kO  
(3) UnhandledExceptionFilter /3.;sS]B  
d} 5  
当发生异常时，使用Windows XP SP>=2，Windows 2003和Windows Vista时，操作系统处理异常的常用方法是： )Y&B63]B  
pI.~j]*:{  
- 如果有异常，将控制权传递给每个进程的Vectored Exception Handlers。 o^/ fr&,9  
<>(v~a]  
- 如果异常未被处理，则将控制权传递给每个线程顶部SEH handler，由生成异常的线程中的FS：[0]指向。如果异常未被SEH中的前一个SEH handler所处理，则SEH形成SEH链并且依次调用SEH。 v-8{mK`9\  
k{'<J(Hb  
- 如果任何先前的处理方法尚未成功处理异常，则最终的SEH处理程序（由系统设置）将调用kernel32!UnhandledExceptionFilter。该函数将决定它应该做什么，具体取决于是否调试过程。 mq}U Uk@  
5R)IL2~  
- 如果未被调试，它将调用用户定义的过滤器函数（通过kernel32!SetUnhandledExceptionFilter设置）。 h+7U'+|%A  
lKf kRyO_S  
- 如果已被调试，程序将被终止。 1cx%+-  
W6`_lGTj  
UnhandledExceptionFilter中的调试器检测是使用ntdll!NtQueryInformationProcess进行的。 mhM;`dl  
elR1NhB|p  
例： P T~F^8,)  
oB@)!'
  
me F.  
A6+qS [  
-----------------------------------------------分割线----------------------------------------------------------------------- X40
JCQx{+  
H]*B5Jv~  
今天实在太晚了，明天还得早起，就先翻译这些，如果觉得还需要继续翻译的请留言咯。:D ^$mCF%e8H  
JvEW0-B^l,  

图片:girl01.jpg