TA的每日心情 | 开心
2022-1-9 18:41 |
|---|
签到天数: 5 天 [LV.2]偶尔看看I
|
备注
原文地址:https://anti-debug.checkpoint.com/techniques/timing.html
原文标题:Anti-Debug: Timing
更新日期:2021年6月15日
此文后期:根据自身所学进行内容扩充
因自身技术有限,只能尽自身所能翻译国外技术文章,供大家学习,若有不当或可完善的地方,希望可以指出,用于共同完善这篇文章。
目录
- 定时
- 1. RDPMC/RDTSC
- 2. GetLocalTime()
- 3. GetSystemTime()
- 4. GetTickCount()
- 5. ZwGetTickCount() / KiGetTickCount()
- 6. QueryPerformanceCounter()
- 7. timeGetTime()
- 反制措施
定时
当一个进程在调试器中被追踪时,在指令和执行之间会有巨大的延迟。代码的某些部分之间的 "本地 "延迟可以用几种方法测量并与实际延迟进行比较。
1. RDPMC/RDTSC
这些指令要求在CR4寄存器中设置PCE标志寄存器。
RDPMC指令只能在内核模式下使用。
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- ULARGE_INTEGER Start, End;
- __asm
- {
- xor ecx, ecx
- rdpmc
- mov Start.LowPart, eax
- mov Start.HighPart, edx
- }
- // ... some work
- __asm
- {
- xor ecx, ecx
- rdpmc
- mov End.LowPart, eax
- mov End.HighPart, edx
- }
- return (End.QuadPart - Start.QuadPart) > qwNativeElapsed;
- }
RDTSC是一个用户模式指令。
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- ULARGE_INTEGER Start, End;
- __asm
- {
- xor ecx, ecx
- rdtsc
- mov Start.LowPart, eax
- mov Start.HighPart, edx
- }
- // ... some work
- __asm
- {
- xor ecx, ecx
- rdtsc
- mov End.LowPart, eax
- mov End.HighPart, edx
- }
- return (End.QuadPart - Start.QuadPart) > qwNativeElapsed;
- }
2. GetLocalTime()
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- SYSTEMTIME stStart, stEnd;
- FILETIME ftStart, ftEnd;
- ULARGE_INTEGER uiStart, uiEnd;
- GetLocalTime(&stStart);
- // ... some work
- GetLocalTime(&stEnd);
- if (!SystemTimeToFileTime(&stStart, &ftStart))
- return false;
- if (!SystemTimeToFileTime(&stEnd, &ftEnd))
- return false;
- uiStart.LowPart = ftStart.dwLowDateTime;
- uiStart.HighPart = ftStart.dwHighDateTime;
- uiEnd.LowPart = ftEnd.dwLowDateTime;
- uiEnd.HighPart = ftEnd.dwHighDateTime;
- return (uiEnd.QuadPart - uiStart.QuadPart) > qwNativeElapsed;
- }
3. GetSystemTime()
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- SYSTEMTIME stStart, stEnd;
- FILETIME ftStart, ftEnd;
- ULARGE_INTEGER uiStart, uiEnd;
- GetSystemTime(&stStart);
- // ... some work
- GetSystemTime(&stEnd);
- if (!SystemTimeToFileTime(&stStart, &ftStart))
- return false;
- if (!SystemTimeToFileTime(&stEnd, &ftEnd))
- return false;
- uiStart.LowPart = ftStart.dwLowDateTime;
- uiStart.HighPart = ftStart.dwHighDateTime;
- uiEnd.LowPart = ftEnd.dwLowDateTime;
- uiEnd.HighPart = ftEnd.dwHighDateTime;
- return (uiEnd.QuadPart - uiStart.QuadPart) > qwNativeElapsed;
- }
4. GetTickCount()
C/C++ 代码:
- bool IsDebugged(DWORD dwNativeElapsed)
- {
- DWORD dwStart = GetTickCount();
- // ... some work
- return (GetTickCount() - dwStart) > dwNativeElapsed;
- }
5. ZwGetTickCount() / KiGetTickCount()
这两个函数只在内核模式下使用。
就像用户模式的GetTickCount()或GetSystemTime()一样,内核模式的ZwGetTickCount()从KUSER_SHARED_DATA页面读取。这个页面在虚拟地址的用户模式范围内被映射为只读,在内核范围内被映射为读写。系统时钟的滴答声更新了系统时间,它直接存储在这个页面中。
ZwGetTickCount()的使用方法与GetTickCount()相同。使用KiGetTickCount()比调用ZwGetTickCount()要快,但比直接从KUSER_SHARED_DATA页面读取稍慢一些。
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- ULARGE_INTEGER Start, End;
- __asm
- {
- int 2ah
- mov Start.LowPart, eax
- mov Start.HighPart, edx
- }
- // ... some work
- __asm
- {
- int 2ah
- mov End.LowPart, eax
- mov End.HighPart, edx
- }
- return (End.QuadPart - Start.QuadPart) > qwNativeElapsed;
- }
6. QueryPerformanceCounter()
C/C++ 代码:
- bool IsDebugged(DWORD64 qwNativeElapsed)
- {
- LARGE_INTEGER liStart, liEnd;
- QueryPerformanceCounter(&liStart);
- // ... some work
- QueryPerformanceCounter(&liEnd);
- return (liEnd.QuadPart - liStart.QuadPart) > qwNativeElapsed;
- }
7. timeGetTime()
C/C++ 代码:
- bool IsDebugged(DWORD dwNativeElapsed)
- {
- DWORD dwStart = timeGetTime();
- // ... some work
- return (timeGetTime() - dwStart) > dwNativeElapsed;
- }
反制措施
调试期间:只需用NOP填充定时检查,并将这些检查的结果设置为适当的值。
对于反调试绕过方案的开发:没有很大的必要去做什么,因为所有的定时检查都不是很可靠。你仍然可以拦截定时函数,加快调用之间的时间。 |
|
狗仔卡
发表于 2021-9-12 15:31:09
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2024-6-29 21:43:08
