设为首页收藏本站
查看: 8582|回复: 5

[原创] [翻译]反调试:直接与调试器交互

[复制链接]
梦幻的彼岸
  • TA的每日心情
    开心
    2022-1-9 18:41

    • 签到天数: 5 天

    [LV.2]偶尔看看I
    发表于 2021-9-12 15:32:56 | 显示全部楼层 |阅读模式
    备注
    原文地址:https://anti-debug.checkpoint.com/techniques/interactive.html
    原文标题:Anti-Debug: Direct debugger interaction
    更新日期:2021年7月13日
    此文后期:根据自身所学进行内容扩充
    因自身技术有限,只能尽自身所能翻译国外技术文章,供大家学习,若有不当或可完善的地方,希望可以指出,用于共同完善这篇文章。




    目录

    • 直接与调试器交互
    • 1. 自我调试
    • 2. GenerateConsoleCtrlEvent()
    • 3. BlockInput()
    • 4. NtSetInformationThread()
    • 5. EnumWindows() and SuspendThread()
    • 6. SwitchDesktop()
    • 7. OutputDebugString()
    • 反制措施

    直接与调试器交互
    下面的技术让正在运行的进程管理一个用户界面,或者与它的父进程交互以发现对一个被调试的进程来说是固有的不一致的地方

    1. 自我调试
    至少有三个函数可以用来作为调试器附加到一个正在运行的进程上:
    • kernel32!DebugActiveProcess()
    • ntdll!DbgUiDebugActiveProcess()
    • ntdll!NtDebugActiveProcess()

    由于一次只能将一个调试器附加到一个进程上,附加到进程上的失败可能表明有另一个调试器存在。

    在下面的例子中,我们运行我们进程的第二个示例,它试图将调试器附加到它的父级(进程的第一个实例)。如果kenel32!DebugActiveProcess()没有成功完成,我们就设置由第一个示例创建的命名事件。如果该事件被设置,第一个示例就明白有一个调试器存在。
    C/C++代码:
    1. #define EVENT_SELFDBG_EVENT_NAME L"SelfDebugging"

    3. bool IsDebugged()
    4. {
    5.     WCHAR wszFilePath[MAX_PATH], wszCmdLine[MAX_PATH];
    6.     STARTUPINFO si = { sizeof(si) };
    7.     PROCESS_INFORMATION pi;
    8.     HANDLE hDbgEvent;

    10.     hDbgEvent = CreateEventW(NULL, FALSE, FALSE, EVENT_SELFDBG_EVENT_NAME);
    11.     if (!hDbgEvent)
    12.         return false;

    14.     if (!GetModuleFileNameW(NULL, wszFilePath, _countof(wszFilePath)))
    15.         return false;

    17.     swprintf_s(wszCmdLine, L"%s %d", wszFilePath, GetCurrentProcessId());
    18.     if (CreateProcessW(NULL, wszCmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi))
    19.     {
    20.         WaitForSingleObject(pi.hProcess, INFINITE);
    21.         CloseHandle(pi.hProcess);
    22.         CloseHandle(pi.hThread);

    24.         return WAIT_OBJECT_0 == WaitForSingleObject(hDbgEvent, 0);
    25.     }

    27.     return false;
    28. }

    30. bool EnableDebugPrivilege()
    31. {
    32.     bool bResult = false;
    33.     HANDLE hToken = NULL;
    34.     DWORD ec = 0;

    36.     do
    37.     {
    38.         if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
    39.             break;

    41.         TOKEN_PRIVILEGES tp;
    42.         tp.PrivilegeCount = 1;
    43.         if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid))
    44.             break;

    46.         tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    47.         if( !AdjustTokenPrivileges( hToken, FALSE, &tp, sizeof(tp), NULL, NULL))
    48.             break;

    50.         bResult = true;
    51.     }
    52.     while (0);

    54.     if (hToken)
    55.         CloseHandle(hToken);

    57.     return bResult;
    58. }

    60. int main(int argc, char **argv)
    61. {
    62.     if (argc < 2)
    63.     {        
    64.         if (IsDebugged())
    65.             ExitProcess(0);
    66.     }
    67.     else
    68.     {
    69.         DWORD dwParentPid = atoi(argv[1]);
    70.         HANDLE hEvent = OpenEventW(EVENT_MODIFY_STATE, FALSE, EVENT_SELFDBG_EVENT_NAME);
    71.         if (hEvent && EnableDebugPrivilege())
    72.         {
    73.             if (FALSE == DebugActiveProcess(dwParentPid))
    74.                 SetEvent(hEvent);
    75.             else
    76.                 DebugActiveProcessStop(dwParentPid);
    77.         }
    78.         ExitProcess(0);
    79.     }
    80.    
    81.     // ...
    82.    
    83.     return 0;
    84. }
    复制代码

    2. GenerateConsoleCtrlEvent()
    当用户按下Ctrl+C或Ctrl+Break并且控制台窗口处于focus位置时,Windows会检查是否有这个事件的处理程序。所有的控制台进程都有一个默认的处理函数,调用kernel32!ExitProcess()函数。然而,我们可以为这些事件注册一个自定义的处理程序,它忽略了Ctrl+C或Ctrl+Break信号。

    然而,如果一个控制台进程正在被调试,而CTRL+C信号没有被禁用,系统会产生一个DBG_CONTROL_C异常。通常这个异常会被调试器拦截,但是如果我们注册一个异常处理程序,我们将能够检查DBG_CONTROL_C是否被引发。如果我们在自己的异常处理程序中拦截了DBG_CONTROL_C异常,它可能表明该进程正在被调试。
    C/C++代码:
    1. bool g_bDebugged{ false };
    2. std::atomic<bool> g_bCtlCCatched{ false };

    4. static LONG WINAPI CtrlEventExeptionHandler(PEXCEPTION_POINTERS pExceptionInfo)
    5. {
    6.     if (pExceptionInfo->ExceptionRecord->ExceptionCode == DBG_CONTROL_C)
    7.     {
    8.         g_bDebugged = true;
    9.         g_bCtlCCatched.store(true);
    10.     }
    11.     return EXCEPTION_CONTINUE_EXECUTION;
    12. }

    14. static BOOL WINAPI CtrlHandler(DWORD fdwCtrlType)
    15. {
    16.     switch (fdwCtrlType)
    17.     {
    18.     case CTRL_C_EVENT:
    19.         g_bCtlCCatched.store(true);
    20.         return TRUE;
    21.     default:
    22.         return FALSE;
    23.     }
    24. }

    26. bool IsDebugged()
    27. {
    28.     PVOID hVeh = nullptr;
    29.     BOOL bCtrlHadnlerSet = FALSE;

    31.     __try
    32.     {
    33.         hVeh = AddVectoredExceptionHandler(TRUE, CtrlEventExeptionHandler);
    34.         if (!hVeh)
    35.             __leave;

    37.         bCtrlHadnlerSet = SetConsoleCtrlHandler(CtrlHandler, TRUE);
    38.         if (!bCtrlHadnlerSet)
    39.             __leave;

    41.         GenerateConsoleCtrlEvent(CTRL_C_EVENT, 0);
    42.         while (!g_bCtlCCatched.load())
    43.             ;
    44.     }
    45.     __finally
    46.     {
    47.         if (bCtrlHadnlerSet)
    48.             SetConsoleCtrlHandler(CtrlHandler, FALSE);

    50.         if (hVeh)
    51.             RemoveVectoredExceptionHandler(hVeh);
    52.     }

    54.     return g_bDebugged;
    55. }
    复制代码


    3. BlockInput()
    函数user32!BlockInput()可以阻止所有的鼠标和键盘事件,这是禁用调试器的一个相当有效的方法。在Windows Vista和更高版本中,这个调用需要管理员权限。

    我们还可以检测是否有钩住user32!BlockInput()和其他反调试调用的工具存在。该函数只允许阻断输入一次。第二次调用将返回FALSE。如果该函数无论输入多少都返回TRUE,可能表明存在一些拦截方案。
    C/C++代码:
    1. bool IsHooked ()
    2. {
    3.     BOOL bFirstResult = FALSE, bSecondResult = FALSE;
    4.     __try
    5.     {
    6.         bFirstResult = BlockInput(TRUE);
    7.         bSecondResult = BlockInput(TRUE);
    8.     }
    9.     __finally
    10.     {
    11.         BlockInput(FALSE);
    12.     }
    13.     return bFirstResult && bSecondResult;
    14. }
    复制代码

    4. NtSetInformationThread()
    函数ntdll!NtSetInformationThread()可以用来从调试器中隐藏一个线程。借助未记录的值THREAD_INFORMATION_CLASS::ThreadHideFromDebugger (0x11)的帮助下实现。这是由一个外部进程使用的,但任何线程都可以在自己身上使用它。

    线程从调试器中隐藏后,它将继续运行,但调试器不会收到与此线程相关的事件。这个线程可以进行反调试检查,如代码校验、调试标志验证等。

    然而,如果在隐藏的线程中有一个断点,或者我们把主线程从调试器中隐藏起来,进程就会崩溃,调试器就会被卡住。

    在这个例子中,我们从调试器中隐藏了当前线程。这意味着,如果我们在调试器中跟踪这段代码,或者把断点放在这个线程的任何指令上,一旦ntdll!NtSetInformationThread()被调用,调试就会被卡住。
    C/C++代码:
    1. #define NtCurrentThread ((HANDLE)-2)

    3. bool AntiDebug()
    4. {
    5.     NTSTATUS status = ntdll::NtSetInformationThread(
    6.         NtCurrentThread,
    7.         ntdll::THREAD_INFORMATION_CLASS::ThreadHideFromDebugger,
    8.         NULL,
    9.         0);
    10.     return status >= 0;
    11. }
    复制代码


    5. EnumWindows() and SuspendThread()
    这个技术的想法是暂停父进程的自有线程。

    首先,我们需要验证父进程是否是一个调试器。这可以通过列举屏幕上的所有顶级窗口来实现(使用user32!EnumWindows()或user32!EnumThreadWindows()),搜索进程ID为父进程ID的窗口(使用user32!GetWindowThreadProcessId()),并检查此窗口的标题(通过user32!GetWindowTextW())。如果父进程的窗口标题看起来像调试器的标题,我们可以用kernel32!SuspendThread()或ntdll!NtSuspendThread()暂停拥有的线程。
    C/C++代码:
    1. DWORD g_dwDebuggerProcessId = -1;

    3. BOOL CALLBACK EnumWindowsProc(HWND hwnd, LPARAM lParam)
    4. {
    5.     DWORD dwProcessId = *(PDWORD)lParam;

    7.     DWORD dwWindowProcessId;
    8.     GetWindowThreadProcessId(hwnd, &dwWindowProcessId);

    10.     if (dwProcessId == dwWindowProcessId)
    11.     {
    12.         std::wstring wsWindowTitle{ string_heper::ToLower(std::wstring(GetWindowTextLengthW(hwnd) + 1, L'\0')) };
    13.         GetWindowTextW(hwnd, &wsWindowTitle[0], wsWindowTitle.size());

    15.         if (string_heper::FindSubstringW(wsWindowTitle, L"dbg") ||
    16.             string_heper::FindSubstringW(wsWindowTitle, L"debugger"))
    17.         {
    18.             g_dwDebuggerProcessId = dwProcessId;
    19.             return FALSE;
    20.         }
    21.         return FALSE;
    22.     }

    24.     return TRUE;
    25. }

    27. bool IsDebuggerProcess(DWORD dwProcessId) const
    28. {
    29.     EnumWindows(EnumWindowsProc, reinterpret_cast<LPARAM>(&dwProcessId));
    30.     return g_dwDebuggerProcessId == dwProcessId;
    31. }

    33. bool SuspendDebuggerThread()
    34. {
    35.     THREADENTRY32 ThreadEntry = { 0 };
    36.     ThreadEntry.dwSize = sizeof(THREADENTRY32);

    38.     DWORD dwParentProcessId = process_helper::GetParentProcessId(GetCurrentProcessId());
    39.     if (-1 == dwParentProcessId)
    40.         return false;

    42.     HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwParentProcessId);
    43.     if(Thread32First(hSnapshot, &ThreadEntry))
    44.     {
    45.         do
    46.         {
    47.             if ((ThreadEntry.th32OwnerProcessID == dwParentProcessId) && IsDebuggerProcess(dwParentProcessId))
    48.             {
    49.                 HANDLE hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, ThreadEntry.th32ThreadID);
    50.                 if (hThread)
    51.                     SuspendThread(hThread);
    52.                 break;
    53.             }
    54.         } while(Thread32Next(hSnapshot, &ThreadEntry));
    55.     }

    57.     if (hSnapshot)
    58.         CloseHandle(hSnapshot);

    60.     return false;
    61. }
    复制代码

    6. SwitchDesktop()
    Windows支持每个会话有多个桌面。可以选择一个不同的活动桌面,其效果是隐藏了之前活动桌面的窗口,而且没有明显的方法可以切换回旧的桌面。

    此外,来自被调试进程桌面的鼠标和键盘事件将不再被传递给调试器,因为它们的来源不再被共享。这显然使调试变得不可能。
    C/C++代码:
    1. BOOL Switch()
    2. {
    3.     HDESK hNewDesktop = CreateDesktopA(
    4.         m_pcszNewDesktopName,
    5.         NULL,
    6.         NULL,
    7.         0,
    8.         DESKTOP_CREATEWINDOW | DESKTOP_WRITEOBJECTS | DESKTOP_SWITCHDESKTOP,
    9.         NULL);
    10.     if (!hNewDesktop)
    11.         return FALSE;

    13.     return SwitchDesktop(hNewDesktop);
    14. }
    复制代码

    7. OutputDebugString()
    这种技术已经被废弃了,因为它只适用于早于Vista的Windows版本。然而,这项技术非常有名,不能在此不提。

    这个想法很简单。如果调试器不存在,而kernel32!OutputDebugString被调用,那么就会发生错误。
    C/C++代码:
    1. bool IsDebugged()
    2. {
    3.     if (IsWindowsVistaOrGreater())
    4.         return false;

    6.     DWORD dwLastError = GetLastError();
    7.     OutputDebugString(L"AntiDebug_OutputDebugString");
    8.     return GetLastError() != dwLastError;
    9. }
    复制代码

    反制措施
    在调试过程中,最好跳过可疑的函数调用(例如用NOP填充)。

    如果你写一个反调试方案,以下所有的函数都可以被拦截。
    • kernel32!DebugActiveProcess
    • ntdll!DbgUiDebugActiveProcess
    • ntdll!NtDebugActiveProcess
    • kernel32!GenerateConsoleCtrlEvent()
    • user32!NtUserBlockInput
    • ntdll!NtSetInformationThread
    • user32!NtUserBuildHwndList(用于过滤EnumWindows输出)。
    • kernel32!SuspendThread
    • user32!SwitchDesktop
    • kernel32!OutputDebugStringW

    拦截函数可以检查输入参数并修改原始函数行为。

    点评

    H.U.C清风
    支持一下  发表于 2024-10-14 19:27
    H.U.C清风
    谢谢分享  发表于 2024-10-14 19:26
    alglsf666
    谢谢分享  发表于 2024-6-25 19:39
    回复

    使用道具 举报

    alglsf666
  • TA的每日心情
    奋斗
    昨天 18:48

    • 签到天数: 341 天

    [LV.8]以坛为家I
    发表于 2024-6-25 19:40:49 | 显示全部楼层
    谢谢分享  
    回复 支持 反对

    使用道具 举报

    H.U.C清风
  • TA的每日心情
    开心
    6 天前

    • 签到天数: 575 天

    [LV.9]以坛为家II
    发表于 2024-10-14 19:25:04 | 显示全部楼层
    谢谢分享,已回复。
    回复 支持 反对

    使用道具 举报

    返回列表
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    红盟社区--红客联盟 

    Processed in 0.060984 second(s), 25 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    备案号:冀ICP备20006029号-1 Powered by HUC © 2001-2021 Comsenz Inc.

    首页

    资讯

    社区

    互助

    家园

    群组

    文库

    文图

    组织活动

    总排行榜

    个人日志

    音乐电台

    爱心赞助

    每日签到

    微信机器

    微信图片

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表