Delphi 19种反调试检测法
//使用IsDebuggerPresent这个API来检测是否被调试
function FD_IsDebuggerPresent(): Boolean;
begin
if IsDebuggerPresent then
Result := True
else
Result := False;
end;
//使用查看PEB结构中标志位beingDegug来检测是否被调试
function PD_PEB_BeingDebuggedFlag(): Boolean;
begin
asm
mov @result, 0
mov eax, fs:[30h] //EAX = TEB.ProcessEnvironmentBlock
add eax, 2
mov eax, [eax]
and eax, $000000ff //AL = PEB.BeingDebugged
test eax, eax
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
//查看PEB结构中的NtGlobalFlags标志位来检测是否被调试
function FD_PEB_NtGlobalFlags(): Boolean;
begin
asm
mov @result, 0
mov eax, fs:[30h]
mov eax, [eax+68h]
and eax, $70 //NtGlobalFlags
test eax, eax
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
//在PEB结构中,使用HeapFlags来
//检测调试器也不是非常可靠,但却很常用。
//这个域由一组标志组成,正常情况下,该值应为2
function FD_Heap_HeapFlags(): Boolean;
begin
asm
mov @result, 0
mov eax, fs:[30h]
mov eax, [eax+18h] //PEB.ProcessHeap
mov eax, [eax+0ch] //PEB.ProcessHeap.Flags
cmp eax, 2
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
//检测PEB结构中的标志位ForceFlags,它也由一
//组标志组成,正常情况下,该值应为0
function FD_Heap_ForceFlags(): Boolean;
begin
asm
mov @result, 0
mov eax, fs:[30h]
mov eax, [eax+18h] mov eax, [eax+10h]
test eax, eax
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
//使用API:CheckRemoteDebuggerPresent
function FD_CheckRemoteDebuggerPresent(): Boolean;
var
Func_Addr: Pointer;
hModule: Cardinal;
pDebugBool: PBool;
begin
result := false;
hModule := GetModuleHandle('kernel32.dll');
if hModule = INVALID_HANDLE_VALUE then exit;
Func_addr := GetProcAddress(hModule, 'CheckRemoteDebuggerPresent');
if (Func_addr <> nil) then begin
asm
lea eax, pDebugBool
push eax
push $ffffffff
call Func_addr
cmp dword ptr[pDebugBool], 0
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
end;
//使用ntdll_NtQueryInformationProcess()来查询
//ProcessDebugPort可以用来检测反调试
function FD_NtQueryInfoProc_DbgPort(): Boolean;
var
Func_Addr: Pointer;
hModule: Cardinal;
ReturnLength: PULONG;
dwDebugPort: PDWORD;
begin
result := false;
hModule := GetModuleHandle('ntdll.dll');
if hModule = INVALID_HANDLE_VALUE then exit;
Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
if (Func_addr <> nil) then begin
asm
lea eax, ReturnLength
push eax //ReturnLength
push 4 //ProcessInformationLength
lea eax, dwDebugPort
push eax //ProcessInformation
push 7 //ProcessInformationClass
push $FFFFFFFF //ProcessHandle
call Func_addr //NtQueryInformationProcess
cmp [dwDebugPort], 0
jne @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
end;
//查询winXp自动创建的"debug object"的句柄
function FD_NtQueryInfoProc_DbgObjHandle(): Boolean;
var
Func_Addr: Pointer;
hModule: Cardinal;
ReturnLength: PULONG;
dwDebugPort: PDWORD;
begin
result := false;
hModule := GetModuleHandle('ntdll.dll');
if hModule = INVALID_HANDLE_VALUE then exit;
Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
if (Func_addr <> nil) then begin
asm
lea eax, ReturnLength
push eax
push 4
lea eax, dwDebugPort
push eax
push $1E
push $FFFFFFFF
call Func_addr
mov eax, [dwDebugPort]
test eax, eax
jnz @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
end;
//查询winXp自动创建的"debug object",
//未公开的ProcessDebugFlags类,当调试器存在时,它会返回false
function FD_NtQueryInfoProc_DbgFlags(): Boolean;
var
Func_Addr: Pointer;
hModule: Cardinal;
ReturnLength: PULONG;
dwDebugPort: PDWORD;
begin
result := false;
hModule := GetModuleHandle('ntdll.dll');
if hModule = INVALID_HANDLE_VALUE then exit;
Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
if (Func_addr <> nil) then begin
asm
lea eax, ReturnLength
push eax
push 4
lea eax, dwDebugPort
push eax
push $1F
push $FFFFFFFF
call Func_addr
mov eax, [dwDebugPort]
test eax, eax
jz @IsDebug
jmp @exit
@IsDebug:
mov @result, 1
@exit:
end;
end;
end;
//是否获得SeDebugPrivilege
//是否可以使用openprocess操作CSRSS.EXE
function FD_SeDebugPrivilege(csrssPid: THandle): Boolean;
var
hTmp: Cardinal;
begin
result := False;
hTmp := OpenProcess(PROCESS_ALL_ACCESS,false,csrssPid);
if hTmp <> 0 then begin
CloseHandle (hTmp);
result := true;
end;
end;
//查找已知的调试器的窗口来检测是否被调试
function FD_Find_Debugger_Window(): Boolean;
var
whWnd: DWORD;
begin
result := True;
//ollydbg v1.1
whWnd := FindWindow('icu_dbg', nil);
if whWnd <> 0 then Exit;
//ollyice pe--diy
whWnd := FindWindow('pe--diy', nil);
if whWnd <> 0 then Exit;
//ollydbg ?-
whWnd := FindWindow('ollydbg', nil);
if whWnd <> 0 then Exit;
//windbg
whWnd := FindWindow('WinDbgFrameClass', nil);
if whWnd <> 0 then Exit;
//dede3.50
whWnd := FindWindow('TDeDeMainForm', nil);
if whWnd <> 0 then Exit;
//IDA5.20
whWnd := FindWindow('TIdaWindow', nil);
if whWnd <> 0 then Exit;
result := False;
end;
//给CloseHandle()函数一个无效句柄作为输入参数
//是否触发一个EXCEPTION_INVALID_HANDLE (0xc0000008)的异常
function FD_Exception_Closehandle(): Boolean;
begin
try
CloseHandle($00001234);
result := False;
except
Result := True;
end;
end;
//int3 检测
function FD_Exception_Int3(): Boolean;
begin
asm
mov @result, 0
push offset @exception_handler //set exception handler
push dword ptr fs:[0h]
mov dword ptr fs:[0h],esp
xor eax,eax //reset EAX invoke int3
int 3h
pop dword ptr fs:[0h] //restore exception handler
add esp,4
test eax,eax // check the flag
je @IsDebug
jmp @exit
@exception_handler:
mov eax,dword ptr [esp+$c]//EAX = ContextRecord
mov dword ptr [eax+$b0],$ffffffff//set flag (ContextRecord.EAX)
inc dword ptr [eax+$b8]//set ContextRecord.EIP
xor eax,eax
ret
@IsDebug:
xor eax,eax
inc eax
mov esp,ebp
pop ebp
ret
@exit:
xor eax,eax
mov esp,ebp
pop ebp
ret
end;
end;
//使用OutputDebugString函数来检测
function FD_OutputDebugString(): boolean;
var
tmpD: DWORD;
begin
OutputDebugString('');
tmpD := GetLastError;
if(tmpD = 0) then
result := true
else
Result := false;
end;
//检测STARTUPINFO结构中的值是否为0
function FD_Check_StartupInfo(): Boolean;
var
si: STARTUPINFO;
begin
ZeroMemory(@si, sizeof(si));
si.cb := sizeof(si);
GetStartupInfo(si);
if (si.dwX <> 0) and (si.dwY <> 0)
and (si.dwXCountChars <> 0)
and (si.dwYCountChars <> 0)
and (si.dwFillAttribute <> 0)
and (si.dwXSize <> 0)
and (si.dwYSize <> 0) then begin
result := true
end else
result := false;
end;
//使用int 2dh中断的异常检测
function FD_INT_2d(): Boolean;
begin
try
asm
int 2dh
inc eax //any opcode of singlebyte.
//;or u can put some junkcode,
//"0xc8"..."0xc2"..."0xe8"..."0xe9"
mov @result, 1
end;
except
Result := false;
end;
end;
//最近比较牛的反调试
function FS_OD_Int3_Pushfd(): Boolean;
begin
asm
push offset @e_handler //set exception handler
push dword ptr fs:[0h]
mov dword ptr fs:[0h],esp
xor eax,eax //reset EAX invoke int3
int 3h
pushfd
nop
nop
nop
nop
pop dword ptr fs:[0h] //restore exception handler
add esp,4
test eax,eax //check the flag
je @IsDebug
jmp @Exit
@e_handler:
push offset @e_handler1 //set exception handler
push dword ptr fs:[0h]
mov dword ptr fs:[0h],esp
xor eax,eax //reset EAX invoke int3
int 3h
nop
pop dword ptr fs:[0h] //restore exception handler
add esp,4 //EAX = ContextRecord
mov ebx,eax //dr0=>ebx
mov eax,dword ptr [esp+$c] //set ContextRecord.EIP
inc dword ptr [eax+$b8]
mov dword ptr [eax+$b0],ebx //dr0=>eax
xor eax,eax
ret
@e_handler1: //EAX = ContextRecord
mov eax,dword ptr [esp+$c] //set ContextRecord.EIP
inc dword ptr [eax+$b8]
mov ebx,dword ptr[eax+$04]
mov dword ptr [eax+$b0],ebx //dr0=>eax
xor eax,eax
ret
@IsDebug:
mov @result, 1
mov esp,ebp
pop ebp
ret
@Exit:
mov esp,ebp
pop ebp
ret
end;
end;
//使用int1的异常检测来反调试
function FS_SI_Exception_Int1(): Boolean;
begin
asm
mov @result, 0
push offset @eh_int1 //set exception handler
push dword ptr fs:[0h]
mov dword ptr fs:[0h],esp
xor eax,eax //reset flag(EAX) invoke int3
int 1h
pop dword ptr fs:[0h] //restore exception handler
add esp,4
test eax, eax // check the flag
je @IsDebug
jmp @Exit
@eh_int1:
mov eax,[esp+$4]
mov ebx,dword ptr [eax]
mov eax,dword ptr [esp+$c] //EAX = ContextRecord
mov dword ptr [eax+$b0],1 //set flag (ContextRecord.EAX)
inc dword ptr [eax+$b8] //set ContextRecord.EIP
inc dword ptr [eax+$b8] //set ContextRecord.EIP
xor eax, eax
ret
@IsDebug:
mov @result, 1
mov esp,ebp
pop ebp
ret
@Exit:
xor eax, eax
mov esp,ebp
pop ebp
ret
end;
end;
//在异常处理过程中检测硬件断点
function FB_HWBP_Exception(): Boolean;
begin
asm
push offset @exeception_handler //set exception handler
push dword ptr fs:[0h]
mov dword ptr fs:[0h],esp
xor eax,eax //reset EAX invoke int3
int 1h
pop dword ptr fs:[0h] //restore exception handler
add esp,4 //test if EAX was updated (breakpoint identified)
test eax,eax
jnz @IsDebug
jmp @Exit
@exeception_handler: //EAX = CONTEXT record
mov eax,dword ptr [esp+$c] //check if Debug Registers Context.Dr0-Dr3 is not zero
cmp dword ptr [eax+$04],0
jne @hardware_bp_found
cmp dword ptr [eax+$08],0
jne @hardware_bp_found
cmp dword ptr [eax+$0c],0
jne @hardware_bp_found
cmp dword ptr [eax+$10],0
jne @hardware_bp_found
jmp @exception_ret
@hardware_bp_found: //set Context.EAX to signal breakpoint found
mov dword ptr [eax+$b0],$FFFFFFFF
@exception_ret: //set Context.EIP upon return
inc dword ptr [eax+$b8] //set ContextRecord.EIP
inc dword ptr [eax+$b8] //set ContextRecord.EIP
xor eax,eax
ret
@IsDebug:
mov @result, 1
mov esp,ebp
pop ebp
ret
@Exit:
xor eax, eax
mov esp,ebp
pop ebp
ret
end;
end;
Delphi 19种反调试检测法的更多相关文章
- 编译Android内核 For nexus 5 以及绕过Android的反调试
本文博客链接:http://blog.csdn.net/qq1084283172/article/details/54880488 前面的博客中已经记录了Nexus 5手机的Android 4.4.4 ...
- Windows 32位-调试与反调试
1.加载调试符号链接文件并放入d:/symbols目录下. 0:000> .sympath srv*d:\symbols*http://msdl.microsoft.com/download/s ...
- C/C++ 程序反调试的方法
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,Is ...
- 一种绕过PTRACE反调试的办法
Linux 系统gdb等调试器,都是通过ptrace系统调用实现.Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段. 调试时一般需要手工在ptrace处下断点,通过修改ptr ...
- JavaScript反调试技巧
一.函数重定义 这是一种最基本也是最常用的代码反调试技术了.在JavaScript中,我们可以对用于收集信息的函数进行重定义.比如说,console.log()函数可以用来收集函数和变量等信息,并将其 ...
- WIN10 X64下通过TLS实现反调试
目录(?)[-] TLS技术简介 1 TLS回调函数 2 TLS的数据结构 具体实现及原理 1 VS2015 X64 release下的demo 2 回调函数的具体实现 21 使用IsDebugger ...
- Windows 反调试技术——OpenProcess 权限过滤 - ObRegisterCallback
转载: https://blog.xpnsec.com/anti-debug-openprocess/ 看雪翻译:https://bbs.pediy.com/thread-223857.htm 本周我 ...
- 解决Android加固多进程ptrace反调试的思路整理
本文博客链接:http://blog.csdn.net/qq1084283172/article/details/53613481 一.Android多进程反调试的原理代码 当ptrace附加目标进程 ...
- 基于TLS的反调试技术
TLS(Thread Local Storage 线程局部存储) 一个进程中的每个线程在访问同一个线程局部存储时,访问到的都是独立的绑定于该线程的数据块.在PEB(进程环境块)中TLS存储槽共64个( ...
随机推荐
- 001_nginx常用参数查询
一.underscores_in_headers on; Nginx 默认把名称包含下划线的 Headers 视为无效,直接移除.如果你希望让这类型的信息生效,那你要把 underscores_in_ ...
- js和css实现内容超过边框,就自动省略,自动添加title
在项目汇总,我们有这样的需求,如果内容多了,就自动省略,自动添加title 这个需要判断判断俩个值,一个是width(),一个是scrollWidth, 在div中,如果内容没有超过边框,这俩个值是一 ...
- Ibatis.Net 输出SQL语句学习(七)
一.IBatis.net输出SQL语句 输出IBatis.net生成的SQL语句,能够方便调试. 在MapperHelper类中添加GetSql方法: /// <summary> /// ...
- idea中搜狗输入法不跟随光标,看不到输入的字
好久没在windows上开发了,今天遇到一个比较坑的问题: 最新版idea,输入法都是最新的;但是idea里面输入字,看不到自己输入的是什么字,好坑... 在外面可以看到输入什么字说明与输入法无关, ...
- ldconfig命令与ldd命令
ldconfig是一个动态链接库管理命令,为了让动态链接库为系统所共享,还需运行动态链接库的管理命令 ldconfig通常在系统启动时运行,而当用户安装了一个新的动态链接库时,就需要手工运行这个命令. ...
- SendMessage原理初探
今天跟踪一下SendMessage的实现. 用向导先创建一个Windows application. 向导生成了一个简单的窗口,如下. 在File菜单添加SendMessage,顺便添加一个PostM ...
- php生成随机数
生成1-10之间的随机数,不重复. 方法一:用shuffle函数. <?php $arr=range(1,10); shuffle($arr); foreach($arr as $values) ...
- 数据库相关--在mac OX10.11.6上安装MySQL
一.之前失败情况 官网下载dmg文件安装.源码安装,下过5.6 5.7 8.0 版本,都可以安装成功,但是在电脑设置界面无法启动,每次点启动输入密码后,均闪一下绿色然后变红色,既然不能界面启动,那 ...
- React Native Android启动白屏的一种解决方案上
我们用RN去开发Android应用的时候,我们会发现一个很明显的问题,这个问题就是启动时每次都会有1~3秒的白屏时间,直到项目加载出来 为什么会出现这个问题? RN开发的应用在启动时,首先会将js b ...
- linux学习笔记-9.查找
1.查找可执行的命令 which ls 2.查找可执行的命令和帮助的位置 whereis ls 3.查找文件(需要更新库:updatedb) locate hadoop.txt 4.从某个文件夹开始查 ...