3.2.4 反调试技术

什么是反调试

反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外,恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。

反调试技术

下面先介绍几种 Windows 下的反调试方法。

函数检测

函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调试状态。最简单的调试器检测函数是 IsDebuggerPresent()

  1. BOOL WINAPI IsDebuggerPresent(void);

该函数查询进程环境块(PEB)中的 BeingDebugged 标志,如果进程处在调试上下文中,则返回一个非零值,否则返回零。

示例:

  1. BOOL CheckDebug()
  2. {
  3. return IsDebuggerPresent();
  4. }

CheckRemoteDebuggerPresent() 用于检测一个远程进程是否处于调试状态:

  1. BOOL WINAPI CheckRemoteDebuggerPresent(
  2. _In_ HANDLE hProcess,
  3. _Inout_ PBOOL pbDebuggerPresent
  4. );

如果 hProcess 句柄表示的进程处于调试上下文,则设置 pbDebuggerPresent 变量被设置为 TRUE,否则被设置为 FALSE

  1. BOOL CheckDebug()
  2. {
  3. BOOL ret;
  4. CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret);
  5. return ret;
  6. }

NtQueryInformationProcess 用于获取给定进程的信息:

  1. NTSTATUS WINAPI NtQueryInformationProcess(
  2. _In_ HANDLE ProcessHandle,
  3. _In_ PROCESSINFOCLASS ProcessInformationClass,
  4. _Out_ PVOID ProcessInformation,
  5. _In_ ULONG ProcessInformationLength,
  6. _Out_opt_ PULONG ReturnLength
  7. );

第二个参数 ProcessInformationClass 给定了需要查询的进程信息类型。当给定值为 0ProcessBasicInformation)或 7ProcessDebugPort)时,就能得到相关调试信息,返回信息会写到第三个参数 ProcessInformation 指向的缓冲区中。

示例:

  1. BOOL CheckDebug()
  2. {
  3. DWORD dbgport = 0;
  4. HMODULE hModule = LoadLibrary("Ntdll.dll");
  5. NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");
  6. NtQueryInformationProcess(GetCurrentProcess(), 7, &dbgPort, sizeof(dbgPort), NULL);
  7. return dbgPort != 0;
  8. }

数据检测

数据检测是指程序通过测试一些与调试相关的关键位置的数据来判断是否处于调试状态。比如上面所说的 PEB 中的 BeingDebugged 参数。数据检测就是直接定位到这些数据地址并测试其中的数据,从而避免调用函数,使程序的行为更加隐蔽。

示例:

  1. BOOL CheckDebug()
  2. {
  3. int BeingDebug = 0;
  4. __asm
  5. {
  6. mov eax, dword ptr fs:[30h] ; 指向PEB基地址
  7. mov eax, dword ptr [eax+030h]
  8. movzx eax, byte ptr [eax+2]
  9. mov BeingDebug, eax
  10. }
  11. return BeingDebug != 0;
  12. }

由于调试器中启动的进程与正常启动的进程创建堆的方式有些不同,系统使用 PEB 结构偏移量 0x68 处的一个未公开的位置,来决定如果创建堆结构。如果这个位置上的值为 0x70,则进程处于调试器中。

示例:

  1. BOOL CheckDebug()
  2. {
  3. int BeingDbg = 0;
  4. __asm
  5. {
  6. mov eax, dword ptr fs:[30h]
  7. mov eax, dword ptr [eax + 68h]
  8. and eax, 0x70
  9. mov BeingDbg, eax
  10. }
  11. return BeingDbg != 0;
  12. }

符号检测

符号检测主要针对一些使用了驱动的调试器或监视器,这类调试器在启动后会创建相应的驱动链接符号,以用于应用层与其驱动的通信。但由于这些符号一般都比较固定,所以就可以通过这些符号来确定是否存在相应的调试软件。

示例:

  1. BOOL CheckDebug()
  2. {
  3. HANDLE hDevice = CreateFileA("\\\\.\\PROCEXP153", GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, 0, 0);
  4. if (hDevice)
  5. {
  6. return 0;
  7. }
  8. }

窗口检测

窗口检测通过检测当前桌面中是否存在特定的调试窗口来判断是否存在调试器,但不能判断该调试器是否正在调试该程序。

示例:

  1. BOOL CheckDebug()
  2. {
  3. if (FindWindowA("OllyDbg", 0))
  4. {
  5. return 0;
  6. }
  7. return 1;
  8. }

特征码检测

特征码检测枚举当前正在运行的进程,并在进程的内存空间中搜索特定调试器的代码片段。

例如 OllyDbg 有这样一段特征码:

  1. 0x41, 0x00, 0x62, 0x00, 0x6f, 0x00, 0x75, 0x00, 0x74, 0x00,
  2. 0x20, 0x00, 0x4f, 0x00, 0x6c, 0x00, 0x6c, 0x00, 0x79, 0x00,
  3. 0x44, 0x00, 0x62, 0x00, 0x67, 0x00, 0x00, 0x00, 0x4f, 0x00,
  4. 0x4b, 0x00, 0x00, 0x00

示例:

  1. BOOL CheckDebug()
  2. {
  3. BYTE sign[] = {0x41, 0x00, 0x62, 0x00, 0x6f, 0x00, 0x75, 0x00, 0x74, 0x00,
  4. 0x20, 0x00, 0x4f, 0x00, 0x6c, 0x00, 0x6c, 0x00, 0x79, 0x00,
  5. 0x44, 0x00, 0x62, 0x00, 0x67, 0x00, 0x00, 0x00, 0x4f, 0x00,
  6. 0x4b, 0x00, 0x00, 0x00;}
  7. PROCESSENTRY32 sentry32 = {0};
  8. sentry32.dwSize = sizeof(sentry32);
  9. HANDLE phsnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  10. Process32First(phsnap, &sentry32);
  11. do{
  12. HANDLE hps = OpenProcess(MAXIMUM_ALLOWED, FALSE, sentry32.th32ProcessID);
  13. if (hps != 0)
  14. {
  15. DWORD szReaded = 0;
  16. BYTE signRemote[sizeof(sign)];
  17. ReadProcessMemory(hps, (LPCVOID)0x4f632a, signRemote, sizeof(signRemote), &szReaded);
  18. if (szReaded > 0)
  19. {
  20. if (memcmp(sign, signRemote, sizeof(sign)) == 0)
  21. {
  22. CloseHandle(phsnap);
  23. return 0;
  24. }
  25. }
  26. }
  27. }
  28. sentry32.dwSize = sizeof(sentry32);
  29. }while(Process32Next(phsnap, &sentry32));

行为检测

行为检测是指在程序中通过代码感知程序处于调试时与未处于调试时的各种差异来判断程序是否处于调试状态。例如我们在调试时步过两条指令所花费的时间远远超过 CPU 正常执行花费的时间,于是就可以通过 rdtsc 指令来进行测试。(该指令用于将时间标签计数器读入 EDX:EAX 寄存器)

示例:

  1. BOOL CheckDebug()
  2. {
  3. int BeingDbg = 0;
  4. __asm
  5. {
  6. rdtsc
  7. mov ecx, edx
  8. rdtsc
  9. sub edx, ecx
  10. mov BeingDbg, edx
  11. }
  12. if (BeingDbg > 2)
  13. {
  14. return 0;
  15. }
  16. return 1;
  17. }

断点检测

断点检测是根据调试器设置断点的原理来检测软件代码中是否设置了断点。调试器一般使用两者方法设置代码断点:

  • 通过修改代码指令为 INT3(机器码为0xCC)触发软件异常
  • 通过硬件调试寄存器设置硬件断点

针对软件断点,检测系统会扫描比较重要的代码区域,看是否存在多余的 INT3 指令。

示例:

  1. BOOL CheckDebug()
  2. {
  3. PIMAGE_DOS_HEADER pDosHeader;
  4. PIMAGE_NT_HEADERS32 pNtHeaders;
  5. PIMAGE_SECTION_HEADER pSectionHeader;
  6. DWORD dwBaseImage = (DWORD)GetModuleHandle(NULL);
  7. pDosHeader = (PIMAGE_DOS_HEADER)dwBaseImage;
  8. pNtHeaders = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);
  9. pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pNtHeaders + sizeof(pNtHeaders->Signature) + sizeof(IMAGE_FILE_HEADER) +
  10. (WORD)pNtHeaders->FileHeader.SizeOfOptionalHeader);
  11. DWORD dwAddr = pSectionHeader->VirtualAddress + dwBaseImage;
  12. DWORD dwCodeSize = pSectionHeader->SizeOfRawData;
  13. BOOL Found = FALSE;
  14. __asm
  15. {
  16. cld
  17. mov edi,dwAddr
  18. mov ecx,dwCodeSize
  19. mov al,0CCH
  20. repne scasb ; EDI指向大小为ECX的缓冲区中搜索AL包含的字节
  21. jnz NotFound
  22. mov Found,1
  23. NotFound:
  24. }
  25. return Found;
  26. }

而对于硬件断点,由于程序工作在保护模式下,无法访问硬件调试断点,所以一般需要构建异常程序来获取 DR 寄存器的值。

示例:

  1. BOOL CheckDebug()
  2. {
  3. CONTEXT context;
  4. HANDLE hThread = GetCurrentThread();
  5. context.ContextFlags = CONTEXT_DEBUG_REGISTERS;
  6. GetThreadContext(hThread, &context);
  7. if (context.Dr0 != 0 || context.Dr1 != 0 || context.Dr2 != 0 || context.Dr3!=0)
  8. {
  9. return 1;
  10. }
  11. return 0;
  12. }

行为占用

行为占用是指在需要保护的程序中,程序自身将一些只能同时有 1 个实例的功能占为己用。比如一般情况下,一个进程只能同时被 1 个调试器调试,那么就可以设计一种模式,将程序以调试方式启动,然后利用系统的调试机制防止被其他调试器调试。

参考资料