26种对付反调试的方法

发布时间：2019-03-22 20:28:59 所属栏目：策划来源：luochicun

导读：目前主要有3种分析软件的方法： 1.数据交换分析，研究人员使用数据包嗅探工具来分析网络数据交换。 2.对软件的二进制代码进行反汇编，然后以汇编语言列出。 3.字节码解码或二进制解码，然后以高级编程语言重新创建源代码。本文针对的是Windows操作系统中

链中的最后一部分是系统分配的默认处理程序。如果以前没有异常的处理程序，则系统处理程序将转到注册表以获取

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAeDebug

根据AeDebug密钥值，应用程序将被终止或控制被传送到调试器。调试器路径应在调试器REG_SZ中指示。

在创建新进程时，系统会向其添加主要SEH Frame。主SEH Frame的处理程序也由系统定义。主要的SEH Frame本身几乎位于最初为进程分配的堆栈内存中。 SEH处理函数签名如下所示：

typedef EXCEPTION_DISPOSITION (*PEXCEPTION_ROUTINE) ( 
    __in struct _EXCEPTION_RECORD *ExceptionRecord, 
    __in PVOID EstablisherFrame, 
    __inout struct _CONTEXT *ContextRecord, 
    __inout PVOID DispatcherContext 
    );

如果正在调试应用程序，在int 3h中断生成后，控制将被调试器拦截。否则，，控制将被转移

到SEH处理程序。以下代码就是基于SEH Frame的反调试保护：

BOOL g_isDebuggerPresent = TRUE; 
EXCEPTION_DISPOSITION ExceptionRoutine( 
    PEXCEPTION_RECORD ExceptionRecord, 
    PVOID             EstablisherFrame, 
    PCONTEXT          ContextRecord, 
    PVOID             DispatcherContext) 
{ 
    g_isDebuggerPresent = FALSE; 
    ContextRecord->Eip += 1; 
    return ExceptionContinueExecution; 
} 
int main() 
{ 
    __asm 
    { 
        // set SEH handler 
        push ExceptionRoutine 
        push dword ptr fs:[0] 
        mov  dword ptr fs:[0], esp 
        // generate interrupt 
        int  3h 
        // return original SEH handler 
        mov  eax, [esp] 
        mov  dword ptr fs:[0], eax 
        add  esp, 8 
    } 
    if (g_isDebuggerPresent) 
    { 
        std::cout << "Stop debugging program!" << std::endl; 
        exit(-1); 
    } 
    return 0 
}

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

25/35

首页

尾页

如何把网站搜索性能发	什么样的人相对适合做
如何分析陌生网站的流	总结，常见企业网站营