[原创][开源]巧妙利用SEH异常链AntiDebug及Od反AntiDebug-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创][开源]巧妙利用SEH异常链AntiDebug及Od反AntiDebug

发表于: 2015-11-27 21:25 18351

[原创][开源]巧妙利用SEH异常链AntiDebug及Od反AntiDebug

Tennn

2015-11-27 21:25

18351

工具：VS2012  OD

直接进入正题吧：
简单介绍下基础知识，根据三个（结构体）：
●
[*]TEB结构---线程信息块
[*]SEH结构---结构化异常处理
[*]PEB结构---枚举用户模块列表

把思路扩展开。

FS段寄存器指向当前的TEB结构:
●
[*]   在TEB偏移0x00处指向SEH链指针
[*]  在TEB偏移0x18处是指向TEB结构体自身
[*]  在TEB偏移0x30处是指向PEB结构体指针

反调试思路：

__asm{ /* 添加SEH异常链A */ 
        push XXXXXXX;      //将回调函数XXXXXXX压入堆栈
        push dword ptr fs:[0];    //将先前的EXCEPTION_REGISTRATION结构保存
        mov dword ptr fs:[0],esp;  // 将线程信息块（TIB）中的第一个DWORD指向
                                // 新的EXCEPTION_REGISTRATION结构。
    };

  __asm{ /* 添加SEH异常链A */ 
        push ExpHandel_A;
        push dword ptr fs:[0];
        mov dword ptr fs:[0],esp;
    };
    __asm{ /* 添加SEH异常链B */   
        push ExpHandel_B;
        push dword ptr fs:[0];
        mov dword ptr fs:[0],esp;
    };

    // 2. 人为制造异常
    int *pTest = nullptr;
    *pTest = 0;

  return 0;

//可注释  存在的意义 是更好理解SEH执行流程

EXCEPTION_DISPOSITION ExpHandel_B(
    EXCEPTION_RECORD              *pExceptionRecord,   // 异常状态描述
    EXCEPTION_REGISTRATION_RECORD *pEstablisherFrame,  // 异常注册框架
    CONTEXT                       *pContextRecord,     // 返回线程上下文
    PVOID                         pDispatcherContext ) // 分发器上下文（系统使用，无需关注）
{
    // 返回“运行下一个异常处理器”
    return ExceptionContinueSearch;
}

    // 1. 获取调试标志位
    BYTE IsBeginDebug = false; 
    __asm {
        push eax;
        mov eax, dword ptr fs:[0x30]; // 获取PEB
        mov al,byte ptr ds:[eax+2]; // 获取PEB.BeginDebug
        mov IsBeginDebug,al;
        pop eax;
    };
  
    // 2. 备份正确的异常返回地址
    g_funExceptionReturn = (void (*)())pContextRecord->Eip;

    // 3. 根据标志位执行不同的SEH异常处理流程
    if ( IsBeginDebug )
        pContextRecord->Eip = (DWORD)WrongFun;
    else
        pContextRecord->Eip = (DWORD)RightFun;

    // 4. 返回“已经正常处理”
    return ExceptionContinueExecution;

void RightFun()
{
    MessageBox(0,L"正常运行！",L"SEH反调试测试",MB_OK);
    // 删除异常处理器
    //     运行至此处时栈顶的信息是EXCEPTION_REGISTRATION_RECORD，里面
    // 保存着其最初运行的已成处理器，我们将其保存到FS:[0]处后就相当于
    // 摘除了前面注册的SEH异常链信息。
    __asm pop dword ptr fs:[0];
    g_funExceptionReturn();
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

1.png （8.70kb，11次下载）
2.png （29.07kb，3次下载）
3.png （14.70kb，2次下载）
4.png （10.47kb，5次下载）
5.png （19.51kb，21次下载）
6.png （38.69kb，22次下载）
7.png （7.24kb，8次下载）
8.png （14.92kb，9次下载）
9.png （6.70kb，3次下载）
10.png （23.43kb，4次下载）
SEH_AntiDebug_Native.rar （15.58kb，365次下载）

收藏・82

免费・4

支持

最新回复 (30) 1 2 ▶
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 2 楼沙发。。收藏了。。 2015-11-27 21:42 0
pxhb 雪币： 6541 活跃值： (4501) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 3 楼感谢分享，不错额 2015-11-27 21:49 0
jkld 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jkld 4 楼 mark.有时间看看 2015-11-27 22:11 0
夜的静night 雪币： 786 活跃值： (1621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 76 粉丝 1 关注私信	夜的静night 5 楼看看反调试 thanks 2015-11-27 23:17 0
cykefu 雪币： 54 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	cykefu 6 楼 mark 2015-11-28 01:28 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 7 楼 LZ的帖子是普及贴还是新的Anti技术？我记得SOD插件里头有【Anti BeingDebugged】选项啊 2015-11-28 08:53 0
acqqer 雪币： 123 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 119 粉丝 8 关注私信	acqqer 1 8 楼这种反调试手段只要设置pass exception to program，然后sod把beingdebugged设置为0 就直接可以忽略这个地方了，主要因为产生异常的地方太明显了，一些老壳常用手法= - 2015-11-28 10:14 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼普及贴大多数OD有插件干掉它的 2015-11-28 10:22 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 10 楼嗯这种手法很容易干掉 2015-11-28 10:27 0
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 11 楼谢谢楼主，新手需要这个，希望楼主更多分享 2015-11-28 10:35 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 12 楼可以的我准备发一个系列 ● PEB相关... NTQ相关... 窗口相关... 就技术层面来说反调试就是这三大块（PS:我目前所知的）。之后就是思路上的对抗了。我写的比较详细甚至于快捷键都弄出来了... 就是为了让新手更易理解对于老手的感觉就是“就这么点也能说这么多....” 2015-11-28 10:54 1
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 13 楼拭目以待 2015-11-28 11:15 0
艾米哈柏雪币： 130 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 14 楼 mark 2015-11-28 13:53 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 15 楼好帖子收藏 2015-11-28 14:41 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 16 楼很直观，学习了 2015-11-28 16:07 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 17 楼不错，学习了 2015-11-28 21:44 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼还是可以anti 2015-11-28 23:33 0
AbandonQ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	AbandonQ 19 楼收藏了好贴 2015-12-13 03:01 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 20 楼 BeingDebugged标志。。。 2015-12-13 04:10 0
RingMENG 雪币： 27 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	RingMENG 21 楼为什么不直接取BeginDebug标志了？为什么还有弄个SEH，可以我没有看明白！ 2015-12-16 00:49 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 22 楼好棒！！！ 2015-12-16 10:54 0
cqybhxd 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	cqybhxd 23 楼大牛啊，好多优秀和精华帖顺便问一下你是在15PB学习么？ 2016-1-4 13:35 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 24 楼是的 2016-1-4 14:12 0
laoke 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	laoke 25 楼各种期待。新手等你更新哦加油楼主顶你 2016-1-7 20:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Tennn

发帖

711

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 2 楼沙发。。收藏了。。 2015-11-27 21:42 0
pxhb 雪币： 6541 活跃值： (4501) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 3 楼感谢分享，不错额 2015-11-27 21:49 0
jkld 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jkld 4 楼 mark.有时间看看 2015-11-27 22:11 0
夜的静night 雪币： 786 活跃值： (1621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 76 粉丝 1 关注私信	夜的静night 5 楼看看反调试 thanks 2015-11-27 23:17 0
cykefu 雪币： 54 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	cykefu 6 楼 mark 2015-11-28 01:28 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 7 楼 LZ的帖子是普及贴还是新的Anti技术？我记得SOD插件里头有【Anti BeingDebugged】选项啊 2015-11-28 08:53 0
acqqer 雪币： 123 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 119 粉丝 8 关注私信	acqqer 1 8 楼这种反调试手段只要设置pass exception to program，然后sod把beingdebugged设置为0 就直接可以忽略这个地方了，主要因为产生异常的地方太明显了，一些老壳常用手法= - 2015-11-28 10:14 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼普及贴大多数OD有插件干掉它的 2015-11-28 10:22 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 10 楼嗯这种手法很容易干掉 2015-11-28 10:27 0
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 11 楼谢谢楼主，新手需要这个，希望楼主更多分享 2015-11-28 10:35 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 12 楼可以的我准备发一个系列 ● PEB相关... NTQ相关... 窗口相关... 就技术层面来说反调试就是这三大块（PS:我目前所知的）。之后就是思路上的对抗了。我写的比较详细甚至于快捷键都弄出来了... 就是为了让新手更易理解对于老手的感觉就是“就这么点也能说这么多....” 2015-11-28 10:54 1
xiaohouhui 雪币： 96 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 155 粉丝 2 关注私信	xiaohouhui 1 13 楼拭目以待 2015-11-28 11:15 0
艾米哈柏雪币： 130 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 14 楼 mark 2015-11-28 13:53 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 15 楼好帖子收藏 2015-11-28 14:41 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 16 楼很直观，学习了 2015-11-28 16:07 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 17 楼不错，学习了 2015-11-28 21:44 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 18 楼还是可以anti 2015-11-28 23:33 0
AbandonQ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	AbandonQ 19 楼收藏了好贴 2015-12-13 03:01 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 20 楼 BeingDebugged标志。。。 2015-12-13 04:10 0
RingMENG 雪币： 27 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	RingMENG 21 楼为什么不直接取BeginDebug标志了？为什么还有弄个SEH，可以我没有看明白！ 2015-12-16 00:49 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 22 楼好棒！！！ 2015-12-16 10:54 0
cqybhxd 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	cqybhxd 23 楼大牛啊，好多优秀和精华帖顺便问一下你是在15PB学习么？ 2016-1-4 13:35 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 24 楼是的 2016-1-4 14:12 0
laoke 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	laoke 25 楼各种期待。新手等你更新哦加油楼主顶你 2016-1-7 20:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复