转自看雪
>
Xh=P% 原文地址 WW{_D '*65j
O39 [1]引言
r5ldK?=k+* "uT2 DY[ 本文对基于Windows NT的操作系统上使用的几种反调试技术进行了分类和介绍。
sve} ent .r{t&HO;Y 反调试技术是程序检测它是否在调试器(Debugger)下运行的方法。反调试技术被用于商业可执行程序的保护,加壳工具以及病毒等,以杜绝或减缓软件被逆(向工程)
f<i
K% &M<"Fmn 我们假设程序是在r3 debugger下进行分析的,例如Windows平台上的OD。本文面向逆向工程师和恶意软件分析师。
YY :{/0? 请注意,我们将纯粹谈论通用的反调试和反跟踪技术。此文不会涉及特定的调试器检测,例如窗口或进程的枚举,注册表扫描等。
9#:fQ!3` {6GX
?aw' [2]反调试和反跟踪技术
7M7Lj
0Y)L 1 :$#a - 利用内存差
]u!s-=3s wdfbl_`T (1) kernel32!IsDebuggerPresent
sS;)d 如果正在调试进程,则IsDebuggerPresent返回1,否则返回0。此API只读取PEB!BeingDebugged 的byte-flag(位于PEB结构中的偏移 2)。
2uN3:_w 绕过它就只需要 PEB!BeingDebugged 设置为 0
T#i;=NP" 例:
y6tqemz - call IsDebuggerPresent
- test eax, eax
- jne @DebuggerDetected
- ...
L.yM" m$^5{qpg (2) PEB!IsDebugged
q~
ZUtF G4*&9Wo 该字段引用进程的Process Environment Block(进程环境块/区间?)中的第二个字节. 被调试期间会由系统设置为非0, 该字节可以被重置为0,而不会对程序的执行过程产生影响(因为这是一个信息标志).
?d%{- mRRZ/m?A( 例:
M>Tg$^lm - mov eax, fs:[30h]
- mov eax, byte [eax+2]
- test eax, eax
- jne @DebuggerDetected
- ...
aJf3rHX [j5+PV
(3) PEB!NtGlobalFlags
1fMV$T==K 当有进程被创建时,系统会设置一些标志,这些标志将定义各种API对此进程的行为。这些标志可以在PEB中被读取,位于偏移量0x68的DWORD中.
)^ZC'[93 默认情况下,根据是否在Debugger下创建了进程而设置不同的NtGlobalFlags标志。如果调试了该进程,将出现一些控制ntdll中的常规堆栈操作的flags:
!-^oU" F(去)L(掉)G_HEAP_ENABLE_TAIL_CHECK,
>6jal?4u- F(去)L(掉)G_HEAP_ENABLE_FREE_CHECK,
@s
cn ?t F(去)L(掉)G_HEAP_VALIDATE_PARAMETERS.
^67}&O^1 , 可以通过重置NtGlobalFlags字段来绕过这种反调试技术。
6vAZLNG3 例:
][tR=Y#&y5 - mov eax, fs:[30h]
- mov eax, [eax+68h]
- and eax, 0x70
- test eax, eax
- jne @DebuggerDetected
- ...
B>>_t2IU
ar\|D\0V (4) Heap flags(堆栈标志)
Hzm_o>^KC >'W,8F 如前所述,NtGlobalFlags标注常规堆栈将会出现什么样的行为。虽然很容易修改PEB字段,但如果堆栈的行为与程序未被调试的时候的行为方式不同,则可能会出现问题。这是一个挺厉害的反调试机制,因为进程堆很多,并且它们的chunks可以单独受F(去)L(掉)G_HEAP_* flags(例如chunk尾端)的影响。堆栈头部也会受到影响。例如,检查堆栈头中的字段ForceFlags(偏移量0x10)可用于检测Debugger的存在与否。
p+|8(w9A${ 2t_g\Q 有两种简单的方法来避开这种检测机制:
l
+>Y l7jen=(Zb; - 1.创建一个未被调试的进程,并在创建进程后附加调试器(一个简单的解决方案是创建进程挂起,直至运行达到Entry-Point,将Entry-Point跳转至无限循环,恢复进程,附加调试器,并恢复原始Entry-Point)。
VgIk '. GiX3c^V"1 - 2.通过注册表项“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”强制NtGlobalFlags为我们要调试的进程赋值:创建一个名为你要运行的进程名称的子键(非值),并在这个子键,String值“GlobalFlags”设置为空。
+aL R*2N\2 例:
3IQI={:k|D - mov eax, fs:[30h]
- mov eax, [eax+18h] ;process heap
- mov eax, [eax+10h] ;heap flags
- test eax, eax
- jne @DebuggerDetected
- ...
}xt^}:D K$,<<hl (5) Vista anti-debug (没起名字)
%a
WRXW@c ym%` l! 我估计没人再用Vista了,再加上我对Vista机制也不熟悉,就偷了个懒。原文如下:
1E
/G+pm 8..|-<w Here's an anti-debug specific to Windows Vista that I found by comparing memory dumps of a program running with and without control of a debugger. I'm not sure of its realiability, but it's worth mentionning (tested on Windows Vista 32 bits, SP0, English version).
Um\HX6 X,aRL6>r When a process is debugged, its main thread TEB, at offset 0xBFC, contains a pointer to a unicode string referencing a system dll. Moreover, the string follows this pointer (therefore, located at offset 0xC00 in the TEB). If the process is not debugged, the pointer is set to NULL and the string is not present.
@O'NJh{D` B !,&{[D
Example:
yP# Y:s - call GetVersion
- cmp al, 6
- jne @NotVista
- push offset _seh
- push dword fs:[0]
- mov fs:[0], esp
- mov eax, fs:[18h] ; teb
- add eax, 0BFCh
- mov ebx, [eax] ; pointer to a unicode string
- test ebx, ebx ; (ntdll.dll, gdi32.dll,...)
- je @DebuggerNotFound
- sub ebx, eax ; the unicode string follows the
- sub ebx, 4 ; pointer
- jne @DebuggerNotFound
- ;debugger detected if it reaches this point
- ;...
.U=x2txb zps=~| - 利用系统差
:%J;[bS+ Qt{){uE (1) NtQueryInformationProcess
mY/"rm $;G<!]& s ntdll!NtQueryInformationProcess 是ZwQueryInformationProcess系统调用的打包
2^
]^Yc lSaX!${R'T 它的原型如下:
,'HjL:r - NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess(
- IN HANDLE ProcessHandle,
- IN PROCESS_INFORMATION_CLASS ProcessInformationClass,
- OUT PVOID ProcessInformation,
- IN ULONG ProcessInformationLength,
- OUT PULONG ReturnLength
- );
)Cj1VjAg
=TNFAt 当被call时的ProcessInformationClass被设置为7(ProcessDebugPort constant)时,进程被调试的话,系统会将ProcessInformation 设置为 -1.
G .<0^q, WwTl|wgvyI 这是一个强大的反调试机制,没有很简单的方法来绕开。但是,如果跟踪程序,则可以在syscall返回时修改ProcessInformation。
qQ^CSn98J =|aZNHqH 另一种解决方案是使用系统驱动Hook ZwNtQueryInformationProcess
0+op|bdj rf|Nu3AJ 绕过NtQueryInformationProcess将能绕过许多反调试机制的检测(例如CheckRemoteDebuggerPresent或UnhandledExceptionFilter)
Ul/m]b6- F7O*%y.'; 例:
{+_p?8X M^Z=~5
12g - push 0
- push 4
- push offset isdebugged
- push 7 ;ProcessDebugPort
- push -1
- call NtQueryInformationProcess
- test eax, eax
- jne @ExitError
- cmp isdebugged, 0
- jne @DebuggerDetected
- ...
Qx,#Hj $Z]@N
nA9N (2) kernel32!CheckRemoteDebuggerPresent
!`H{jwH "Zhh>cz 此API有两个参数:Process Handle,Ptr* DWORD. 如果调用成功,则在调试进程时,DWORD值将设置为1。
)uOtQ0 !ITM:% 内部来说,此API将ProcessInformationClass设置为ProcessDebugPort (7)后调用ntdll!NtQueryInformationProcess
],0I`!\ A|1xK90^XT 例:
R/"-r^j - push offset isdebugged
- push -1
- call CheckRemoteDebuggerPresent
- test eax, eax
- jne @DebuggerDetected
- ...
;f[##=tm K/Yeh<_& (3) UnhandledExceptionFilter
t !6sU]{ y*X.DS 1(w 当发生异常时,使用Windows XP SP>=2,Windows 2003和Windows Vista时,操作系统处理异常的常用方法是:
-hW>1s< `.O$RwC&7B - 如果有异常,将控制权传递给每个进程的Vectored Exception Handlers。
"Hz%0zP& /i
M1 - 如果异常未被处理,则将控制权传递给每个线程顶部SEH handler,由生成异常的线程中的FS:[0]指向。如果异常未被SEH中的前一个SEH handler所处理,则SEH形成SEH链并且依次调用SEH。
N[3Y~HX!q us?q^>u - 如果任何先前的处理方法尚未成功处理异常,则最终的SEH处理程序(由系统设置)将调用kernel32!UnhandledExceptionFilter。该函数将决定它应该做什么,具体取决于是否调试过程。
N}%AUm/L |wv+g0]Pg^ - 如果未被调试,它将调用用户定义的过滤器函数(通过kernel32!SetUnhandledExceptionFilter设置)。
mxF+Fp~ r2+ZxMo| - 如果已被调试,程序将被终止。
+C7E]0!r bj@R[!ss UnhandledExceptionFilter中的调试器检测是使用ntdll!NtQueryInformationProcess进行的。
?+7~E8 kI!@J6
例:
W[DoQ @q - push @not_debugged
- call SetUnhandledExceptionFilter
- xor eax, eax
- mov eax, dword [eax] ; trigger exception
- ;program terminated if debugged
- ;...
- @not_debugged:
- ;process the exception
- ;continue the execution
- ;...
1aS:bFi` ~A5NseWCK 1G12FV>M -----------------------------------------------分割线-----------------------------------------------------------------------
2HBey N".BC|r 今天实在太晚了,明天还得早起,就先翻译这些,如果觉得还需要继续翻译的请留言咯。:D
fi>.X99(G &x\)] i2f