首页 > 编程语言 >聊一聊对一个 C# 商业程序的反反调试

聊一聊对一个 C# 商业程序的反反调试

时间:2022-11-02 08:33:20浏览次数:43  
标签:0fe468a0 WinDbg 00007ffb 反反 C# KERNELBASE 聊一聊 IsDebuggerPresent eax

一:背景

1.讲故事

前段时间有位朋友在微信上找到我,说他对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了,问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道,其实这是 商业程序 的反调试机制捣鬼的,为了保护程序隐私,一般都不希望他人对自己做逆向分析,那能不能破解它的反调试呢?当然是可以的,难易程度就看对方的诚意了。

经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

二:WinDbg 分析

1. 案例演示

为了方便讲述,先上一个例子。


    internal class Program
    {
        [DllImport("kernelbase.dll", SetLastError = true)]
        static extern bool IsDebuggerPresent();

        static void Main(string[] args)
        {
            Console.ReadLine();

            var isAttached = IsDebuggerPresent();

            if (isAttached)
            {
                Console.WriteLine("/(ㄒoㄒ)/~~ 小心,我被附加了 调试器!");
            }
            else
            {
                Console.WriteLine("O(∩_∩)O 程序很安全!");
            }

            Console.ReadLine();
        }
    }

在没有 WinDbg 的情况下是这样输出的。

有 WinDbg 的情况下是这样输出的。

有朋友肯定要怼了,C# 中有一个 Debugger.IsAttached 属性为什么不用,我试了下,这玩意很差劲,检测不到 WinDbg 这种非托管调试器的附加。

2. 简述 IsDebuggerPresent 方法

其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段,这个字段定义在 KernelBase.dll 中,那怎么验证呢? 可以用 !peb 查看进程环境块的地址,然后用 dt 观察即可。


0:001> !peb
PEB at 000000000035b000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         00007ff719030000
    NtGlobalFlag:             4000
    NtGlobalFlag2:            0
    Ldr                       00007ffb1259b4c0
    ...

0:001> dt ntdll!_PEB 000000000035b000
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''
   +0x003 BitField         : 0x4 ''
   +0x003 ImageUsesLargePages : 0y0
   +0x003 IsProtectedProcess : 0y0
   +0x003 IsImageDynamicallyRelocated : 0y1
   +0x003 SkipPatchingUser32Forwarders : 0y0
   ...

从上面的 BeingDebugged : 0x1 可以看到,当前程序被附加了调试器。

3. 反反调试思路

找到 IsDebuggerPresent() 方法的读取来源,这问题就好办了,通常有两种做法。

  1. 修改 IsDebuggerPresent() 方法的反汇编代码

只要让 IsDebuggerPresent() 方法一直返回 false,那我们就可以成功破解反调试,首先用 x 命令找到 IsDebuggerPresent() 的汇编代码,输出如下:


0:007> x KernelBase!IsDebuggerPresent
00007ffb`0fe468a0 KERNELBASE!IsDebuggerPresent (IsDebuggerPresent)
0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3
00007ffb`0fe468b0 cc              int     3
00007ffb`0fe468b1 cc              int     3
00007ffb`0fe468b2 cc              int     3

按照 stdcall 协定, eax 会作为方法的返回值,接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码,键入完汇编代码之后,按 Enter 即可,输出如下:


0:007> a 00007ffb`0fe468a0
00007ffb`0fe468a0 mov eax , 0
00007ffb`0fe468a5 ret 
00007ffb`0fe468a6 

0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 b800000000      mov     eax,0
00007ffb`0fe468a5 c3              ret
00007ffb`0fe468a6 0000            add     byte ptr [rax],al
00007ffb`0fe468a8 000f            add     byte ptr [rdi],cl
00007ffb`0fe468aa b640            mov     dh,40h
00007ffb`0fe468ac 02c3            add     al,bl
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3

可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码,哈哈,接下来继续 go,截图如下:

可以看到已成功的反反调试,看到程序很开心,我也挺开心的。

  1. 使用bp断点拦截

这种做法就是使用 bp + script 拦截,大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值,这也是可以的,当然也是最安全的。

首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。


0:004> uf KERNELBASE!IsDebuggerPresent
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret

接下来在 00007ffb0fe468ad 处下一个断点,即位置 KERNELBASE!IsDebuggerPresent + 0xd ,然后使用寄存器修改命令 r 修改 eax 的值,再让程序 gc 即可,脚本代码如下:


0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"
0:004> g

可以看到,此时的程序又是笑哈哈的。

三: 总结

这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。

标签:0fe468a0,WinDbg,00007ffb,反反,C#,KERNELBASE,聊一聊,IsDebuggerPresent,eax
From: https://www.cnblogs.com/huangxincheng/p/16849808.html

相关文章

  • CMD命令设置IP
    “以太网”根据网络连接里的名子进行修改,注意红字一个是set一个是add,下面两行是增加双IPnetshinterfaceipv4setaddress"以太网"static10.10.11.116255.255.25......
  • 前端面试指南之React篇(二)
    react中这两个生命周期会触发死循环componentWillUpdate生命周期在shouldComponentUpdate返回true后被触发。在这两个生命周期只要视图更新就会触发,因此不能再这两个生命......
  • centos查看cpu和硬盘
    查cpu型号: cat/proc/cpuinfo|grepname|cut-f2-d:|uniq-c物理数量:cat/proc/cpuinfo|grep"physicalid"|sort|uniq|wc-l逻辑数量:cat/proc/cpuinfo|gre......
  • React的useLayoutEffect和useEffect执行时机有什么不同
    我们先看下React官方文档对这两个hook的介绍,建立个整体认识useEffect(create,deps):该Hook接收一个包含命令式、且可能有副作用代码的函数。在函数组件主体内(这......
  • 前端面试指南之React篇(一)
    组件之间传值父组件给子组件传值在父组件中用标签属性的=形式传值在子组件中使用props来获取值子组件给父组件传值在组件中传递一个函数在子组件中用props来获取......
  • React循环DOM时为什么需要添加key
    一、React渲染流程和更新流程react渲染流程:jsx->虚拟dom->真实domreact更新流程:props/state改变->render函数重新执行->生成新的虚拟dom树->新旧虚拟dom树进......
  • 第三十四章 使用 CSP 进行基于标签的开发 - Hyperevent例子
    第三十四章使用CSP进行基于标签的开发-Hyperevent例子Hyperevent例子本节展示了一些超事件Hyperevent例子的示例;也就是说,使用#server和#call指令来执行服务器操作......
  • Java多线程(7):JUC(下)
    您好,我是湘王,这是我的博客园,欢迎您来,欢迎您再来~ 除了四种常见的同步器(发令枪、摇号器、栅栏和交换机),JUC还有所谓线程安全的容器、阻塞队列和一些特殊的类。其中常出现的......
  • Javascript进阶笔记 - BOM
    6.BOM目录6.BOM1.BOM简介2.History3.Location4.定时器1.BOM简介BOM是指游览器对象模型,BOM提供了一组对象,方便用户通过JS操作游览器BOM对象Window代表......
  • Javascript进阶笔记 - 事件
    事件目录事件1.事件相关概念2.文档的加载3.事件的冒泡4.事件的委派5.事件监听绑定1.事件相关概念事件是电脑输入设备与页面进行交互的响应。注册就是告诉游......