PEB标记反调试方法

一丶PEB结构简介

  PEB.简称进程环境快. 我们在讲DLL隐藏的时候已经说过了.

具体博客链接: https://www.cnblogs.com/iBinary/p/9601860.html

那么我们现在直接看下PEB结构体吧

[+0x000] InheritedAddressSpace : 0x0 [Type: unsigned char]

    [+0x001] ReadImageFileExecOptions : 0x0 [Type: unsigned char]

    [+0x002] BeingDebugged    : 0x1 [Type: unsigned char]           //一个char类型.为1表示调试状态.为0表示没有调试.可以用于反调试. API也是从这里获取的标志

    [+0x003] BitField         : 0x8 [Type: unsigned char]

    [+0x003 ( : )] ImageUsesLargePages : 0x0 [Type: unsigned char]

    [+0x003 ( : )] IsProtectedProcess : 0x0 [Type: unsigned char]

    [+0x003 ( : )] IsLegacyProcess  : 0x0 [Type: unsigned char]

    [+0x003 ( : )] IsImageDynamicallyRelocated : 0x1 [Type: unsigned char]

    [+0x003 ( : )] SkipPatchingUser32Forwarders : 0x0 [Type: unsigned char]

    [+0x003 ( : )] SpareBits        : 0x0 [Type: unsigned char]

    [+0x004] Mutant           : 0xffffffff [Type: void *]

    [+0x008] ImageBaseAddress : 0x11d0000 [Type: void *]

    [+0x00c] Ldr              : 0x77190200 [Type: _PEB_LDR_DATA *]   //用于模块隐藏的结构体

    [+0x010] ProcessParameters : 0x7216d0 [Type: _RTL_USER_PROCESS_PARAMETERS *]

    [+0x014] SubSystemData    : 0x0 [Type: void *]

    [+0x018] ProcessHeap      : 0x720000 [Type: void *]

    [+0x01c] FastPebLock      : 0x77192100 [Type: _RTL_CRITICAL_SECTION *]

    [+0x020] AtlThunkSListPtr : 0x0 [Type: void *]

    [+0x024] IFEOKey          : 0x0 [Type: void *]

    [+0x028] CrossProcessFlags : 0x2 [Type: unsigned long]

    [+0x028 ( : )] ProcessInJob     : 0x0 [Type: unsigned long]

    [+0x028 ( : )] ProcessInitializing : 0x1 [Type: unsigned long]

    [+0x028 ( : )] ProcessUsingVEH  : 0x0 [Type: unsigned long]

    [+0x028 ( : )] ProcessUsingVCH  : 0x0 [Type: unsigned long]

    [+0x028 ( : )] ProcessUsingFTH  : 0x0 [Type: unsigned long]

    [+0x028 (: )] ReservedBits0    : 0x0 [Type: unsigned long]

    [+0x02c] KernelCallbackTable : 0x0 [Type: void *]

    [+0x02c] UserSharedInfoPtr : 0x0 [Type: void *]

    [+0x030] SystemReserved   [Type: unsigned long []]

    [+0x034] AtlThunkSListPtr32 : 0x0 [Type: unsigned long]

    [+0x038] ApiSetMap        : 0x40000 [Type: void *]

    [+0x03c] TlsExpansionCounter : 0x0 [Type: unsigned long]

    [+0x040] TlsBitmap        : 0x77194250 [Type: void *]

    [+0x044] TlsBitmapBits    [Type: unsigned long []]

    [+0x04c] ReadOnlySharedMemoryBase : 0x7efe0000 [Type: void *]

    [+0x050] HotpatchInformation : 0x0 [Type: void *]

    [+0x054] ReadOnlyStaticServerData : 0x7efe0a90 [Type: void * *]

    [+0x058] AnsiCodePageData : 0x7efa0000 [Type: void *]

    [+0x05c] OemCodePageData  : 0x7efa0000 [Type: void *]

    [+0x060] UnicodeCaseTableData : 0x7efd0028 [Type: void *]

    [+0x064] NumberOfProcessors : 0x8 [Type: unsigned long]

    [+0x068] NtGlobalFlag     : 0x70 [Type: unsigned long]

    [+0x070] CriticalSectionTimeout : {-} [Type: _LARGE_INTEGER]

    [+0x078] HeapSegmentReserve : 0x100000 [Type: unsigned long]

    [+0x07c] HeapSegmentCommit : 0x2000 [Type: unsigned long]

    [+0x080] HeapDeCommitTotalFreeThreshold : 0x10000 [Type: unsigned long]

    [+0x084] HeapDeCommitFreeBlockThreshold : 0x1000 [Type: unsigned long]

    [+0x088] NumberOfHeaps    : 0x1 [Type: unsigned long]

    [+0x08c] MaximumNumberOfHeaps : 0x10 [Type: unsigned long]

    [+0x090] ProcessHeaps     : 0x77194760 [Type: void * *]

    [+0x094] GdiSharedHandleTable : 0x0 [Type: void *]

    [+0x098] ProcessStarterHelper : 0x0 [Type: void *]

    [+0x09c] GdiDCAttributeList : 0x0 [Type: unsigned long]

    [+0x0a0] LoaderLock       : 0x771920c0 [Type: _RTL_CRITICAL_SECTION *]

    [+0x0a4] OSMajorVersion   : 0x6 [Type: unsigned long]

    [+0x0a8] OSMinorVersion   : 0x1 [Type: unsigned long]

    [+0x0ac] OSBuildNumber    : 0x1db1 [Type: unsigned short]

    [+0x0ae] OSCSDVersion     : 0x100 [Type: unsigned short]

    [+0x0b0] OSPlatformId     : 0x2 [Type: unsigned long]

    [+0x0b4] ImageSubsystem   : 0x3 [Type: unsigned long]

    [+0x0b8] ImageSubsystemMajorVersion : 0x6 [Type: unsigned long]

    [+0x0bc] ImageSubsystemMinorVersion : 0x0 [Type: unsigned long]

    [+0x0c0] ActiveProcessAffinityMask : 0xff [Type: unsigned long]

    [+0x0c4] GdiHandleBuffer  [Type: unsigned long []]

    [+0x14c] PostProcessInitRoutine : 0x0 [Type: void (*)()]

    [+0x150] TlsExpansionBitmap : 0x77194248 [Type: void *]

    [+0x154] TlsExpansionBitmapBits [Type: unsigned long []]

    [+0x1d4] SessionId        : 0x1 [Type: unsigned long]

    [+0x1d8] AppCompatFlags   : {0x0} [Type: _ULARGE_INTEGER]

    [+0x1e0] AppCompatFlagsUser : {0x0} [Type: _ULARGE_INTEGER]

    [+0x1e8] pShimData        : 0x0 [Type: void *]

    [+0x1ec] AppCompatInfo    : 0x0 [Type: void *]

    [+0x1f0] CSDVersion       : "Service Pack 1" [Type: _UNICODE_STRING]

    [+0x1f8] ActivationContextData : 0x60000 [Type: _ACTIVATION_CONTEXT_DATA *]

    [+0x1fc] ProcessAssemblyStorageMap : 0x0 [Type: _ASSEMBLY_STORAGE_MAP *]

    [+0x200] SystemDefaultActivationContextData : 0x50000 [Type: _ACTIVATION_CONTEXT_DATA *]

    [+0x204] SystemAssemblyStorageMap : 0x0 [Type: _ASSEMBLY_STORAGE_MAP *]

    [+0x208] MinimumStackCommit : 0x0 [Type: unsigned long]

    [+0x20c] FlsCallback      : 0x0 [Type: _FLS_CALLBACK_INFO *]

    [+0x210] FlsListHead      [Type: _LIST_ENTRY]

    [+0x218] FlsBitmap        : 0x77194240 [Type: void *]

    [+0x21c] FlsBitmapBits    [Type: unsigned long []]

    [+0x22c] FlsHighIndex     : 0x0 [Type: unsigned long]

    [+0x230] WerRegistrationData : 0x0 [Type: void *]

    [+0x234] WerShipAssertPtr : 0x0 [Type: void *]

    [+0x238] pContextData     : 0x70000 [Type: void *]

    [+0x23c] pImageHeaderHash : 0x0 [Type: void *]

    [+0x240] TracingFlags     : 0x0 [Type: unsigned long]

    [+0x240 ( : )] HeapTracingEnabled : 0x0 [Type: unsigned long]

    [+0x240 ( : )] CritSecTracingEnabled : 0x0 [Type: unsigned long]

    [+0x240 (: )] SpareTracingBits : 0x0 [Type: unsigned long]

可以看到在加2的地方是表示是否被调试的标志.我们可以利用这个表示.请看下方代码.

二丶具体代码实现.

  

// PEB反调试.cpp : 定义控制台应用程序的入口点。

//

#include "stdafx.h"

#include <Windows.h>

int main()

{

    DWORD dwIsDebug = ;

    //dwIsDebug = ::IsDebuggerPresent();  IsDebuggerPresent的表示就是从PEB获取的.

    __asm

    {

        mov eax, fs:[0x18];   //获取TEB

        mov eax, [eax + 0x30];// 获取PEB

        movzx eax, [eax + ];//获取调试标志

        mov dwIsDebug,eax

    }

    if ( == dwIsDebug)

    {

        printf("你的程序正在被调试\r\n");

        getchar();

    }

    else

    {

        printf("你的程序没有被调试\r\n");

        getchar();

    }

    return ;

}

而操作系统提供了一个API就是判断是否被调试的.其实内部也是获取PEB标志,有兴趣的可以反汇编查看.

三丶实现结果

  x32dbg启动

正常启动

PEB标记反调试方法的更多相关文章

  1. Windows 下常见的反调试方法

    稍稍总结一下在Crack或Rervese中比较常见的一些反调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度. ①最简单也是最基础的,Windows提供的API接口:IsDebu ...

  2. so层反调试方法以及部分反反调试的方法

    1.检测ida远程调试所占的常用端口23946,是否被占用 //检测idaserver是否占用了23946端口 void CheckPort23946ByTcp() { FILE* pfile=NUL ...

  3. 手动绕过百度加固Debug.isDebuggerConnected反调试的方法

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78237571 1.调用Debug.isDebuggerConnected函数这种反 ...

  4. IsDebuggerPresent的反调试与反反调试

    一.调用系统的IsDebuggerPresent函数 (1)实现程序 最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的Bein ...

  5. ELF反调试初探

    ELF反调试初探 http://www.freebuf.com/sectool/83509.html ELF(Executable and Linkable Format)是Unix及类Unix系统下 ...

  6. APP加固反调试(Anti-debugging)技术点汇总

    0x00 时间相关反调试 通过计算某部分代码的执行时间差来判断是否被调试,在Linux内核下可以通过time.gettimeofday,或者直接通过sys call来获取当前时间.另外,还可以通过自定 ...

  7. C/C++ 程序反调试的方法

    C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,Is ...

  8. APP安全防护基本方法(混淆/签名验证/反调试)

    本教程所用Android Studio测试项目已上传:https://github.com/PrettyUp/SecTest 一.混淆 对于很多人而言是因为java才接触到“混淆”这个词,由于在前移动 ...

  9. 反调试技术常用API,用来对付检测od和自动退出程序

    在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己.为了了解如何破解反调试技术 ...

随机推荐

  1. python 基础———— 字符串常用的调用 (图2)

    1.  replace 2.  join 3.split 4 rsplit 5. strip : 去除字符串左右两边特定(指定)的字符 7. rstrip  :  去除右边特定(指定)的字符 8. l ...

  2. Linux---一级/二级目录以及位置目录名/指令

    home目录:普通用户登录进来以后的初始位置(会在home目录下创建一个登录名相同的目录例如  / home / 用户名),如果是超级用户则就是 在根目录 /下的 root目录(也就是 /root) ...

  3. Codeforces Round #545 (Div. 2) D 贪心 + kmp

    https://codeforces.com/contest/1138/problem/D 题意 两个01串s和t,s中字符能相互交换,问最多能得到多少个(可交叉)的t 题解 即将s中的01塞进t中, ...

  4. oracle odbc mysql 字段不全

    主要是字段集不对,mysql的字符集默认设置为utf8,odbc才是unicode编码连接,无法转发.选择ansi连接方式即可.

  5. 解决 Files 的值"<<<<<<< HEAD"无效。路径中具有非法字符

    通常我们使用版本控制后会出现诸如此类的问题,此时从vs工具找错误和调试是无法找到问题的,也不影响项目的运行,但是有错误就是得解决.原因是版本控制导致文件的路径出现问题. 解决 Files 的值&quo ...

  6. Kalman Filters

    |—定位—|—蒙特卡洛方法(定位自身) |              |—卡尔曼滤波器(定位其他车辆) |—高斯函数 |—循环两个过程—|—测量(测量更新) |                     ...

  7. jQuery的基本选择器

    <script type="text/javascript"> //演示jQuery的基本选择器 $(function () { //通过ID var obj1 = $ ...

  8. MAC OS 更新GIT版本时遇到的问题

    在更新git版本时,没有备份就删掉了原先的版本,在安装完2.18.0的新版本后,使用命令行git --version,返回错误git not a developer tool or in PATH. ...

  9. 省钱版----查找 IoT 设备TTL线序__未完待续

    作者:仙果 原文来自:省钱版—-查找 IoT 设备TTL线序 省钱版----查找 IoT 设备TTL线序__未完待续 缘由 在IoT固件调试分析的过程中,建议首先在IoT设备的板子上焊接调试线,这是能 ...

  10. 【ZCTF】easy reverse 详解

    0x01  前言     团队逆向牛的解题思路,分享出来~ 0x02  内容 0. 样本 bbcdd1f7-9983-4bf4-9fde-7f77a6b947b4.dll 1. 静态分析 使用IDAP ...