您最喜欢的反调试技巧是什么？

发布于 2024-07-13 19:30:45 字数 596 浏览 5 评论 0原文

在我以前的雇主中，我们使用了第三方组件，它基本上只是一个 DLL 和一个头文件。该特定模块处理 Win32 中的打印。然而，制造该组件的公司破产了，所以我无法报告我发现的错误。

所以我决定自己修复这个错误并启动调试器。我很惊讶地发现反调试代码几乎无处不在，通常的 IsDebuggerPresent，但引起我注意的是：

    ; some twiddling with xor 
    ; and data, result in eax 
    jmp eax 
    mov eax, 0x310fac09 
    ; rest of code here

乍一看，我只是跳过了被调用两次的例程，然后事情简直发疯了。过了一会儿，我意识到位旋转结果总是相同的，即 jmp eax 总是直接跳到 mov eax, 0x310fac09 指令。我剖析了这些字节，发现了 0f31，即 rdtsc 指令，用于测量 DLL 中某些调用之间所花费的时间。

所以我的问题是：你最喜欢的反调试技巧是什么？

原文

At my previous employer we used a third party component which basically was just a DLL and a header file. That particular module handled printing in Win32. However, the company that made the component went bankcrupt so I couldn't report a bug I'd found.

So I decided to fix the bug myself and launched the debugger. I was surprised to find anti-debugging code almost everywhere, the usual IsDebuggerPresent, but the thing that caught my attention was this:

    ; some twiddling with xor 
    ; and data, result in eax 
    jmp eax 
    mov eax, 0x310fac09 
    ; rest of code here

At the first glance I just stepped over the routine which was called twice, then things just went bananas. After a while I realized that the bit twiddling result was always the same, i.e. the jmp eax always jumped right into the mov eax, 0x310fac09 instruction.
I dissected the bytes and there it was, 0f31, the rdtsc instruction which was used to measure the time spent between some calls in the DLL.

So my question to SO is: What is your favourite anti-debugging trick?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

小猫一只 2024-07-20 19:30:46

我最喜欢的技巧是为不起眼的微处理器编写一个简单的指令模拟器。

然后，复制保护和一些核心功能将为微处理器进行编译（GCC 在这里很有帮助），并作为二进制 blob 链接到程序中。

这背后的想法是，普通 x86 代码中不存在复制保护，因此无法反汇编。您也不能删除整个模拟器，因为这会删除程序的核心功能。

破解程序的唯一机会是对微处理器仿真器的功能进行逆向工程。

我使用 MIPS32 进行仿真，因为它非常容易仿真（只需要 500 行简单的 C 代码）。为了让事情变得更加模糊，我没有使用原始的 MIPS32 操作码。相反，每个操作码都与其自己的地址进行异或运算。

复制保护的二进制文件看起来像垃圾数据。

强烈推荐！花了 6 个多月的时间才出现破解（这是一个游戏项目）。

回复收藏 0 原文

素手挽清风 2024-07-20 19:30:46

我是许多 RCE 社区的成员，也曾参与过黑客攻击和攻击。开裂。从我的时代起，我就意识到这种脆弱的技巧通常是不稳定且徒劳的。大多数通用反调试技巧都是特定于操作系统的，根本不“可移植”。

在上述示例中，您可能使用内联汇编和 naked 函数 __declspec，在 x64 架构上编译时，MSVC 不支持这两种功能。当然，仍然有一些方法可以实现上述技巧，但是任何已经逆行足够长的时间的人都能够在几分钟内发现并击败这个技巧。

因此，一般来说，我建议除了利用 IsDebuggerPresent API 进行检测之外，不要使用反调试技巧。相反，我建议您编写存根和/或虚拟机代码。我编写了自己的虚拟机，并且多年来一直在对其进行改进，我可以诚实地说，这是迄今为止我在保护代码方面做出的最佳决定。

回复收藏 0 原文

筱果果 2024-07-20 19:30:46

分离出一个子进程，该子进程作为调试器附加到父进程上。修改关键变量。保持子进程驻留并将调试器内存操作用作某些关键操作的 IPC 的奖励点。

在我的系统上，您无法将两个调试器附加到同一进程。

这个的好处是除非他们试图篡改东西，否则不会有任何破坏。

回复收藏 0 原文

还不是爱你 2024-07-20 19:30:46

引用未初始化的内存！（以及其他黑魔法/伏都教......）

这是一本非常酷的读物：
http://spareclockcycles.org/ 2012/02/14/stack-necromancy-通过-raise-the-dead击败-debuggers/

回复收藏 0 原文

等风来 2024-07-20 19:30:46

最现代的混淆方法似乎是虚拟机。

您基本上获取目标代码的一部分，并将其转换为您自己的字节码格式。然后添加一个小型虚拟机来运行此代码。正确调试此代码的唯一方法是为虚拟机的指令格式编写模拟器或反汇编程序。当然，您还需要考虑性能。太多的字节码会让你的程序运行得比本机代码慢。

大多数旧技巧现在都没用了：

Isdebuggerpresent ：非常蹩脚且易于修补
其他调试器/断点检测
Ring0 东西：用户不喜欢安装驱动程序，你实际上可能会破坏他们系统上的某些东西等。
每个人都知道的其他琐碎的东西，或者这会使你的软件不稳定。请记住，即使破解使您的程序不稳定但它仍然可以工作，这种不稳定将归咎于您。

如果您确实想自己编写 VM 解决方案（有很好的程序出售），请不要仅使用一种指令格式。使其具有多态性，以便可以使代码的不同部分具有不同的格式。这样，仅编写一个模拟器/反汇编器就不会破坏您的所有代码。例如，一些人提供的 MIPS 解决方案似乎很容易被破解，因为 MIPS 指令格式有很好的文档记录，并且像 IDA 这样的分析工具已经可以反汇编代码。

IDA 支持的指令格式列表专业反汇编程序

回复收藏 0 原文

清风挽心 2024-07-20 19:30:46

我更希望人们编写的软件是可靠的、可靠的并且能够实现其广告宣传的功能。他们还以合理的价格和合理的许可证出售它。

我知道我浪费了太多时间与那些拥有复杂许可方案的供应商打交道，这些方案只会给客户和供应商带来问题。我始终建议避开这些供应商。在核电厂工作时，我们被迫使用某些供应商的产品，因此被迫必须处理他们的许可计划。我希望有一种方法可以收回我个人浪费在处理他们为我们提供工作许可产品的失败尝试上的时间。这似乎是一件小事，但对于那些为了自己的利益而变得太狡猾的人来说，这似乎是一件困难的事情。

回复收藏 0 原文