2022年反调试技巧总结-原理和实现 .pdf

《2022年反调试技巧总结-原理和实现 .pdf》由会员分享，可在线阅读，更多相关《2022年反调试技巧总结-原理和实现 .pdf（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、反调试技巧总结-原理和实现-2008.8.7 shellwolf 一、前言前段学习反调试和vc，写了 antidebug-tester，经常会收到message希望交流或索要实现代码，我都没有回复。其实代码已经在编程版提供了1 个版本，另其多是 vc 内嵌 asm写的，对 cracker而言，只要反下就知道了。我想代码其实意义不是很大，重要的是理解和运用。做个简单的总结，说明下实现原理和实现方法。也算回复了那些给我发Message 的朋友。部分代码和参考资料来源：1、hawking 2、Angeljyt 3、http:/ 4、看雪学院5、Peter Ferrie 我将反调试技巧按行为分为两大类

2、，一类为检测，另一类为攻击，每类中按操作对象又分了五个小类：1、通用调试器包括所有调试器的通用检测方法2、特定调试器包括 OD、IDA 等调试器，也包括相关插件，也包括虚拟环境3、断点包括内存断点、普通断点、硬件断点检测4、单步和跟踪主要针对单步跟踪调试5、补丁包括文件补丁和内存补丁反调试函数前缀检测攻击通用调试器FD_ AD_ 特定调试器FS_ AS_ 断点FB_ AB_ 单步和跟踪FT_ AT_ 补丁FP_ AP_ 声明：1、本文多数都是摘录和翻译，我只是重新组合并翻译，不会有人告侵权吧。里面多是按自己的理解来说明，可能有理解错误，或有更好的实现方法，希望大家帮忙指出错误。2、我并没有总结

3、完全，上面的部分分类目前还只有很少的函数甚至空白，等待大家和我一起来完善和补充。我坚信如果有扎实的基础知识，丰富的想像力，灵活的运用，就会创造出更多的属于自己的反调试。而最强的反调试，通常都是自己创造的，而不是来自别人的代码。二、查找-通用调试器(FD_)函数列表如下，后面会依次说明，需事先说明的是，这些反调试手段多数已家喻户晓，目前有效的不多，多数已可以通过OD 的插件顺利通过，如果你想验证它们的有效性，请关闭OD 的所有反反调试插件：boolFD_IsDebuggerPresent();boolFD_PEB_BeingDebuggedFlag();名师资料总结-精品资料欢迎下载-名师精心整

4、理-第 1 页，共 40 页 -boolFD_PEB_NtGlobalFlags();boolFD_Heap_HeapFlags();boolFD_Heap_ForceFlags();boolFD_Heap_Tail();boolFD_CheckRemoteDebuggerPresent();boolFD_NtQueryInfoProc_DbgPort();boolFD_NtQueryInfoProc_DbgObjHandle();boolFD_NtQueryInfoProc_DbgFlags();boolFD_NtQueryInfoProc_SysKrlDbgInfo();boolFD_Se

5、DebugPrivilege();boolFD_Parent_Process();boolFD_DebugObject_NtQueryObject();boolFD_Find_Debugger_Window();boolFD_Find_Debugger_Process();boolFD_Find_Device_Driver();boolFD_Exception_Closehandle();boolFD_Exception_Int3();boolFD_Exception_Popf();boolFD_OutputDebugString();boolFD_TEB_check_in_Vista();b

6、oolFD_check_StartupInfo();boolFD_Parent_Process1();boolFD_Exception_Instruction_count();boolFD_INT_2d();2.1 FD_IsDebuggerPresent()对调试器来说，IsDebuggerPresent 是臭名昭著的恶意函数。不多说了，它是个检测调试的api 函数。实现更简单，只要调用IsDebuggerPresent 就可以了。在调用它之前，可以加如下代码，以用来检测是否在函数头有普通断点，或是否被钩挂。/check softbreakif(*(BYTE*)Func_addr=0 xcc

7、)returntrue;/check hookif(*(BYTE*)Func_addr!=0 x64)returntrue;2.2 FD_PEB_BeingDebuggedFlag 我们知道，如果程序处于调试器中，那么在PEB 结构中有个beingDegug 标志会被设置，直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent 就是这么干的。_asm mov eax,fs:30h;EAX=TEB.ProcessEnvironmentBlock inc eax inc eax mov eax,eax 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 40 页 -a

8、nd eax,0 x000000ff;AL=PEB.BeingDebugged test eax,eax jne rt_label jmp rf_label 2.3 FD_PEB_NtGlobalFlags PEB 中还有其它FLAG 表明了调试器的存在，如NtGlobalFlags。它位于 PEB 环境中偏移为0 x68 的位置，默认情况下该值为0，在 win2k 和其后的windows 平台下，如果在调试中，它会被设置为一个特定的值。使用该标志来判断是否被调试并不可靠（如在winnt 中），但这种方法却也很常用。这个标志由下面几个标志组成：*_HEAP_ENABLE_TAIL_CHECK(

9、0 x10)*_HEAP_ENABLE_FREE_CHECK(0 x20)*_HEAP_V ALIDA TE_PARAMETERS(0 x40)检测 NtGlobalFlags 的方法如下，这个方法在ExeCryptor 中使用过。_asm mov eax,fs:30h mov eax,eax+68h and eax,0 x70 test eax,eax jne rt_label jmp rf_label 2.4 FD_Heap_HeapFlags()同样，调试器也会在堆中留下痕迹，你可以使用kernel32_GetProcessHeap()函数，如果你不希望使用 api 函数（以免暴露），则

10、可以直接在PEB 中寻找。同样的，使用HeapFlags 和后面提到的 ForceFlags 来检测调试器也不是非常可靠，但却很常用。这个域由一组标志组成，正常情况下，该值应为2。_asm mov eax,fs:30h mov eax,eax+18h;PEB.ProcessHeap mov eax,eax+0ch;PEB.ProcessHeap.Flagscmp eax,2 jne rt_label jmp rf_label 2.5 FD_Heap_ForceFlags 进程堆里另外一个标志，ForceFlags，它也由一组标志组成，正常情况下，该值应为0。_asm 名师资料总结-精品资料欢迎

11、下载-名师精心整理-第 3 页，共 40 页 -mov eax,fs:30h mov eax,eax+18h;PEB.ProcessHeap mov eax,eax+10h;PEB.ProcessHeap.ForceFlags test eax,eax jne rt_label jmp rf_label 2.6 FD_Heap_Tail 如果处于调试中，堆尾部也会留下痕迹。标志 HEAP_TAIL_CHECKING_ENABLED 将会在分 配 的 堆 块 尾 部 生 成 两 个0 xABABABAB。如 果 需 要 额 外 的 字 节 来 填 充 堆 尾，HEAP_FREE_CHECKING

12、_ENABLED标志则会生成0 xFEEEFEEE。据说 Themida 使用过这个反调试_asm mov eax,buff;get unused_bytes movzx ecx,byte ptr eax-2 movzx edx,word ptr eax-8;size sub eax,ecx lea edi,edx*8+eax mov al,0abh mov cl,8 repe sca*je rt_label jmp rf_label 2.7 FD_CheckRemoteDebuggerPresent CheckRemoteDebuggerPresent 是另一个检测调试的api，只是可惜它似

13、乎只能在winxp sp1 版本 以 后 使 用。它 主 要 是 用 来查 询 一 个 在 winnt时 就 有 的 一 个 数 值，其 内 部 会 调 用NtQueryInformationProcess()，我是这样实现的：FARPROC Func_addr;HMODULE hModule=GetModuleHandle(kernel32.dll);if(hModule=INV ALID_HANDLE_VALUE)returnfalse;(FARPROC&)Func_addr=GetProcAddress(hModule,CheckRemoteDebuggerPresent);if(Fun

14、c_addr!=NULL)_asm push eax;push esp;名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 40 页 -push 0 xffffffff;call Func_addr;test eax,eax;je rf_label;pop eax;test eax,eax je rf_label;jmp rt_label;2.8 FD_NtQueryInfoProc_DbgPort 使用 ntdll_NtQueryInformationProcess()来查询 ProcessDebugPort 可以用来检测反调试。如果进程被调试，其返回值应为0 xffffffff。

15、下面的代码应该是从pediy 里 copy 过来的，时间太长，不记得是哪位兄弟的代码了。HMODULE hModule=GetModuleHandle(ntdll.dll);ZW_QUERY_INFORMATION_PROCESS ZwQueryInformationProcess;ZwQueryInformationProcess=(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,ZwQueryInformationProcess);if(ZwQueryInformationProcess=NULL)returnfalse;PROCES

16、S_DEBUG_PORT_INFO ProcessInfo;if(STATUS_SUCCESS!=ZwQueryInformationProcess(GetCurrentProcess(),ProcessDebugPort,&ProcessInfo,sizeof(ProcessInfo),NULL)returnfalse;elseif(ProcessInfo.DebugPort)returntrue;elsereturnfalse;2.9 FD_NtQueryInfoProc_DbgObjHandle 在 winxp 中引入了 debug object.当一个调试活动开始，一个debug ob

17、ject被创建，同也相应产生了一个句柄。使用为公开的ProcessDebugObjectHandle 类，可以查询这个句柄的数值。代码可能还是从pediy 里复制的，不记得了。HMODULE hModule=GetModuleHandle(ntdll.dll);ZW_QUERY_INFORMATION_PROCESS ZwQueryInformationProcess;ZwQueryInformationProcess=(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,ZwQueryInformationProcess);if(ZwQue

18、ryInformationProcess=NULL)returnfalse;_PROCESS_DEBUG_OBJECTHANDLE_INFO ProcessInfo;名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 40 页 -if(STATUS_SUCCESS!=ZwQueryInformationProcess(GetCurrentProcess(),(PROCESS_INFO_CLASS)0 x0000001e,&ProcessInfo,sizeof(ProcessInfo),NULL)returnfalse;elseif(ProcessInfo.ObjectHandle)r

19、eturntrue;elsereturnfalse;2.10 FD_NtQueryInfoProc_DbgFlags();同样的未公开的ProcessDebugFlags类，当调试器存在时，它会返回false。HMODULE hModule=GetModuleHandle(ntdll.dll);ZW_QUERY_INFORMATION_PROCESS ZwQueryInformationProcess;ZwQueryInformationProcess=(ZW_QUERY_INFORMATION_PROCESS)GetProcAddress(hModule,ZwQueryInformation

20、Process);if(ZwQueryInformationProcess=NULL)returnfalse;_PROCESS_DEBUG_FLAGS_INFO ProcessInfo;if(STATUS_SUCCESS!=ZwQueryInformationProcess(GetCurrentProcess(),(PROCESS_INFO_CLASS)0 x0000001f,&ProcessInfo,sizeof(ProcessInfo),NULL)returnfalse;elseif(ProcessInfo.Debugflags)returnfalse;elsereturntrue;2.1

21、1 FD_NtQueryInfoProc_SysKrlDbgInfo()这个方法估计对大家用处不大，SystemKernelDebuggerInformation类同样可以用来识别调试器，只是可惜在windows 下无效，据称可以用在reactOS 中。HMODULE hModule=GetModuleHandle(ntdll.dll);ZW_QUERY_SYSTEM_INFORMATION ZwQuerySystemInformation;ZwQuerySystemInformation=(ZW_QUERY_SYSTEM_INFORMATION)GetProcAddress(hModule,

22、ZwQuerySystemInformation);if(ZwQuerySystemInformation=NULL)returnfalse;SYSTEM_KERNEL_DEBUGGER_INFORMATION Info;if(STATUS_SUCCESS=ZwQuerySystemInformation(SystemKernelDebuggerInformation,&Info,sizeof(Info),NULL)if(Info.DebuggerEnabled)名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 40 页 -if(Info.DebuggerNotPresent)re

23、turnfalse;elsereturntrue;elsereturnfalse;elsereturntrue;2.12 FD_SeDebugPrivilege()当一个进程获得SeDebugPrivilege，它就获得了对CSRSS.EXE 的完全控制，这种特权也会被子进程继承，也就是说一个被调试的程序如果获得了CSRSS.EXE 的进程 ID,它就可以使用 openprocess 操作CSRSS.EXE。获得其进程ID有很多中方法，如Process32Next，或NtQuerySystemInformation，在 winxp 下可以使用CsrGetProcessId。hTmp=OpenP

24、rocess(PROCESS_ALL_ACCESS,false,PID_csrss);if(hTmp!=NULL)CloseHandle(hProcessSnap);returntrue;2.13 FD_Parent_Process()通 常 我 们 都 直 接在windows界 面 下 运 行应 用 程 序，这 样 的 结果 就 是 它 的父 进 程 为explorer.exe，这个反调试就是检测应用程序的父进程是否为explorer.exe，如不是则判定为处于调试器中，这也不是百分百可靠，因为有的时候你的程序是在命令行提示符下运行的。Yoda 使用了这个反调试，它使用Process32Ne

25、xt 检测父进程，目前很多插件已经通过使Process32Next 始终返回 false 来越过这个反调试(比如 HideOD)。不过可以对代码做些简单的修正来处理这个反反调试。2.14 FD_DebugObject_NtQueryObject();如前面所描述的，当一个调试活动开始，一个 debug object 被创建，同也相应产生了一个句柄。我们可以查询这个调试对象列表，并检查调试对象的数量，以实现调试器的检测。HMODULE hModule=GetModuleHandle(ntdll.dll);PNtQueryObject NtQueryObject;NtQueryObject=(PN

26、tQueryObject)GetProcAddress(hModule,NtQueryObject);if(NtQueryObject=NULL)returnfalse;unsignedcharszdbgobj25=x44x00 x65x00 x62x00 x75x00 x67x00 x4fx00 x62x00 x6ax00 x65x00 x63x00 x74x00名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 40 页 -x00 x00;unsignedchar*psz=&szdbgobj0;_asm xor ebx,ebx;push ebx;push esp;push ebx

27、;push ebx;push 3;push ebx;Call dword ptr NtQueryObject;pop edi;push 4;push 1000h;push edi;push ebx;call dword ptr V irtualAlloc;push ebx;push edi;push eax;push 3;push ebx;xchg esi,eax;Call dword ptr NtQueryObject;lodsd;xchg ecx,eax;lable1:lodsd;movzx edx,ax;lodsd;xchg esi,eax;cmp edx,16h;jne label2;

28、xchg ecx,edx;mov edi,psz;repe cmp*;xchg ecx,edx;jne label2;cmp dword ptr eax,edx jne rt_label;lable2:add esi,edx and esi,-4;lodsd loop label1;名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 40 页 -returnfalse;rt_label:returntrue;2.15 FD_Find_Debugger_Window();通过列举运行的应用程序的窗口，并于常用调试相关工具比对的方法，应该很常用了，就不多说了。这个也是个可以自行增加项目的

29、函数，你可以将一些常用的调试工具归入其中，比如 OD,IDA,WindBG,SoftICE 等，你也可以添加任何你需要的，比如 Import REConstructor v1.6 FINAL(C)2001-2003 MackT/uCF，Registry Monitor-Sysinternals:等等。/ollyicehWnd=CWnd:FindWindow(_T(1212121),NULL);if(hWnd!=NULL)returntrue;/ollydbg v1.1hWnd=CWnd:FindWindow(_T(icu_dbg),NULL);if(hWnd!=NULL)returntrue;

30、/ollyice pe-diyhWnd=CWnd:FindWindow(_T(pe-diy),NULL);if(hWnd!=NULL)returntrue;/ollydbg?-?hWnd=CWnd:FindWindow(_T(ollydbg),NULL);if(hWnd!=NULL)returntrue;/ollydbg?-?hWnd=CWnd:FindWindow(_T(odbydyk),NULL);if(hWnd!=NULL)returntrue;/windbghWnd=CWnd:FindWindow(_T(WinDbgFrameClass),NULL);if(hWnd!=NULL)ret

31、urntrue;/dede3.50hWnd=CWnd:FindWindow(_T(TDeDeMainForm),NULL);if(hWnd!=NULL)returntrue;/IDA5.20hWnd=CWnd:FindWindow(_T(TIdaWindow),NULL);if(hWnd!=NULL)returntrue;/othershWnd=CWnd:FindWindow(_T(TESTDBG),NULL);名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 40 页 -if(hWnd!=NULL)returntrue;hWnd=CWnd:FindWindow(_T(kk1),N

32、ULL);if(hWnd!=NULL)returntrue;hWnd=CWnd:FindWindow(_T(Eew75),NULL);if(hWnd!=NULL)returntrue;hWnd=CWnd:FindWindow(_T(Shadow),NULL);if(hWnd!=NULL)returntrue;/PEiD v0.94hWnd=CWnd:FindWindow(NULL,PEiD v0.94);if(hWnd!=NULL)returntrue;/RegMONhWnd=CWnd:FindWindow(NULL,Registry Monitor-Sysinternals:);if(hWn

33、d!=NULL)returntrue;/File MonitorhWnd=CWnd:FindWindow(NULL,File Monitor-Sysinternals:);if(hWnd!=NULL)returntrue;/Import Rec v1.6hWnd=CWnd:FindWindow(NULL,Import REConstructor v1.6 FINAL(C)2001-2003 MackT/uCF);if(hWnd!=NULL)returntrue;returnfalse;2.16 FD_Find_Debugger_Process();与上面的方法类似，区别是这个反调试用通过查询进

34、程名字与已知的常用调试器应用程序名字进行比对，以确定是否有调试器处于运行状态。if(strcmp(pe32.szExeFile,OLLYICE.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,IDAG.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,OLLYDBG.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,PEID.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,SOFTICE.EXE)=0)returntrue;if(strcmp(pe

35、32.szExeFile,LORDPE.EXE)=0)名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 40 页 -returntrue;if(strcmp(pe32.szExeFile,IMPORTREC.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,W32DSM89.EXE)=0)returntrue;if(strcmp(pe32.szExeFile,WINDBG.EXE)=0)returntrue;2.17 FD_Find_Device_Driver()调试工具通常会使用内核驱动，因此如果尝试是否可以打开一些调试器所用到的设备，就可判

36、断是否存在调试器。常用的设备名称如下：.SICE（SoftICE）.SIWVID（SoftICE）.NTICE（SoftICE）.REGVXG（RegMON）.REGVXD（RegMON）.REGSYS（RegMON）.REGSYS（RegMON）.FILEVXG（FileMON）.FILEM（FileMON）.TRW（TRW2000）2.18 FD_Exception_Closehandle()如果给CloseHandle()函数一个无效句柄作为输入参数，在无调试器时，将会返回一个错误代码，而有调试器存在时，将会触发一个EXCEPTION_INV ALID_HANDLE(0 xc000000

37、8)的异常。_try CloseHandle(HANDLE(0 x00001234);returnfalse;_except(1)returntrue;2.19 FD_Exception_Int3()通过 Int3 产生异常中断的反调试比较经典。当INT3 被执行到时,如果程序未被调试,将会异常处理器程序继续执行。而INT3 指令常被调试器用于设置软件断点，int 3 会导致调试器误认为这是一个自己的断点，从而不会进入异常处理程序。_asm名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 40 页 -push offset exception_handler;set except

38、ion handlerpush dword ptr fs:0h mov dword ptr fs:0h,esp xor eax,eax;reset EAX invoke int3 int 3h pop dword ptr fs:0h;restore exception handleradd esp,4 test eax,eax;check the flag je rt_label jmp rf_label exception_handler:mov eax,dword ptr esp+0 xc;EAX=ContextRecord mov dword ptr eax+0 xb0,0 xfffff

39、fff;set flag(ContextRecord.EAX)inc dword ptr eax+0 xb8;set ContextRecord.EIP xor eax,eax retn rt_label:xor eax,eax inc eax mov esp,ebp pop ebp retn rf_label:xor eax,eax mov esp,ebp pop ebp retn 2.20 FD_Exception_Popf()我们都知道标志寄存器中的陷阱标志，当该标志被设置时，将产生一个单步异常。在程序中动态设置这给标志，如果处于调试器中，该异常将会被调试器捕获。可通过下面的代码设置标志

40、寄存器。pushf mov dword ptr esp,0 x100 popf 2.21 FD_OutputDebugString()在有调试器存在和没有调试器存在时，OutputDebugString函数表现会有所不同。最明显的不同是，如果有调试器存在，其后的GetLastError()的返回值为零。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 40 页 -OutputDebugString();tmpD=GetLastError();if(tmpD=0)returntrue;returnfalse;2.22 FD_TEB_check_in_Vista();这是从 wind

41、ows anti-debug reference 里拷贝出来的，据说是适用于vista 系统下检测调试器。我没有 vista 所以也没有测试。有条件的可以试下，有问题帮忙反馈给我。多谢。/vista _asm push offset exception_handler;set exception handlerpush dword ptr fs:0h mov dword ptr fs:0h,esp xor eax,eax;reset EAX invoke int3 int 3h pop dword ptr fs:0h;restore exception handleradd esp,4 mov

42、 eax,fs:18h;teb add eax,0BFCh mov ebx,eax;pointer to a unicode string test ebx,ebx;(ntdll.dll,gdi32.dll,.)je rf_label jmp rt_label exception_handler:mov eax,dword ptr esp+0 xc;EAX=ContextRecord inc dword ptr eax+0 xb8;set ContextRecord.EIP xor eax,eax retn 2.23 FD_check_StartupInfo();这是从 pediy 上拷贝来的

43、。Window 创建进程的时候会把STARTUPINFO 结构中的值设为0,而通过调试器创建进程的时候会忽略这个结构中的值，也就是结构中的值不为0，所以可以利用这个来判断是否在调试程序。STARTUPINFO si;ZeroMemory(&si,sizeof(si);si.cb=sizeof(si);GetStartupInfo(&si);if(si.dwX!=0)|(si.dwY !=0)|(si.dwXCountChars!=0)|(si.dwYCountChars!=0)|(si.dwFillAttribute!=0)|(si.dwXSize!=0)|(si.dwYSize!=0)名师资

44、料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 40 页 -returntrue;elsereturnfalse;2.24 FD_Parent_Process1()与前面的 FD_Parent_Process 原理一样，唯一不同的是使用ZwQueryInformationProcess 检测父进程，而没有使用Process32Next，这有一个好处是可以绕过OD 的 HideOD 插件。2.25 FD_Exception_Instruction_count()好像软件加解密技术中有提到这个反调试。通过注册一个异常句柄，在特定地址设置一些硬件断点，当通过这些地址时都会触发EXCEPTI

45、ON_SINGLE_STEP(0 x80000004)的异常，在异常处理程序中，将会调整指令指针到一条新指令，然后恢复运行。可以通过进入进程context 结构来设置这些断点，有些调试器不能处理那些不是自己设置的硬件断点，从而导致一些指令将会被漏掉计数，这就形成了一个反调试。_asm xor eax,eax;cdq;push e_handler;push dword ptr fs:eax;mov fs:eax,esp;int 3;hwbp1:nop hwbp2:nop hwbp3:nop hwbp4:nop div edx nop pop dword ptr fs:0 add esp,4 cm

46、p al,4;jne rt_label;jmp rf_label;e_handler:xor eax,eax;ExceptionRecord mov ecx,dword ptresp+0 x04;Contextrecord mov edx,dword ptresp+0 x0c;ContextEIP inc byte ptredx+0 xb8;名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 40 页 -;ExceptionCode mov ecx,dword ptrecx;1.EXCEPTION_INT_DIVIDE_BY_ZERO cmp ecx,0 xc0000094;jne

47、 Ex_next2;Context_eip inc byte ptredx+0 xb8;mov dword ptredx+0 x04,eax;dr0 mov dword ptredx+0 x08,eax;dr1 mov dword ptredx+0 x0c,eax;dr2 mov dword ptredx+0 x10,eax;dr3 mov dword ptredx+0 x14,eax;dr6 mov dword ptredx+0 x18,eax;dr7 ret;2.EXCEPTION_BREAKPOINT Ex_next2:cmp ecx,0 x80000003;jne Ex_next3;m

48、ov dword ptredx+0 x04,offset hwbp1;dr0 mov dword ptredx+0 x08,offset hwbp2;dr1 mov dword ptredx+0 x0c,offset hwbp3;dr2 mov dword ptredx+0 x10,offset hwbp4;dr3 mov dword ptredx+0 x18,0 x155;dr7 ret;3.EXCEPTION_SINGLE_STEP Ex_next3:cmp ecx,0 x80000004 jne rt_label;CONTEXT_Eax inc byte ptredx+0 xb0 ret

49、 2.26 FD_INT_2d()在 windows anti-debug reference 中指出，如果程序未被调试这个中断将会生产一个断点异常.被调试并且未使用跟踪标志执行这个指令,将不会有异常产生程序正常执行.如果被调试并且指令被跟踪,尾随的字节将被跳过并且执行继续.因此,使用INT 2Dh 能作为一个强有力的反调试和反跟踪机制。_try 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 40 页 -_asm int2dh inc eax;any opcode of singlebyte.;or u can put some junkcode,0 xc8.0 xc2.0

50、xe8.0 xe9 returntrue;_except(1)returnfalse;三、检测-专用调试器(FS_)这一部分是我比较喜欢的，但内容还不是很丰富，比如：1、针对 SoftIce 的检测方法有很多，但由于我从没使用过Softice，也没有条件去测试，所以没有给出太多，有兴趣的可以自己查阅资料进行补充，针对softice 网上资料较多，或查阅软件加解密技术。2、同样，这里也没有给出windbg 等等其它调试器的检测方法。3、而针对 Odplugin，也只给了几种HideOD 的检测。事实上，目前OD 的使用者通常都使用众多的强大插件，当 OD 的反调试越来越普遍时，自己设计几款常用的