[原创]基础反调试技术总结-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]基础反调试技术总结

发表于: 2016-8-24 10:13 20097

[原创]基础反调试技术总结

chenwupedi 活跃值

2016-8-24 10:13

20097

早就决定把反调试这个小技术方向拿来扒一扒，但是技术点实在太多，并且相互交叉，实在又不太好明确分类，想想应该画一张整体概览图，这样不但便于大家迅速浏览总体框架，也便于随时查找，花了两天时间把之前的知识又浏览了一下，做到尽可能不出错但可能还是在所难免，请各位见谅，若有不正确或者不完善的地方请读者帮忙指出，大家共同进步！
在画完整个思维导图发现图太大，无法在网页清楚显示，于是再花点时间把它分开截图说明，并在结尾处给出附件，和原版可编辑的X-mind图，方便大家自行编辑补充！
1 总体技术点概览：
Being Debuged、CheckRemoteDebuggerPresent()、NTQuerySystem Information()、NTQueryObject()、ZwSetInformationThread()、检测调试器、父进程检测、时间差、陷阱标志 TrapFlag、INT2d、0xCC检测、比较校验和、垃圾代码、扰乱代码对齐、双进程保护、代码重组、Stolen Bytes、API重定向、SEH与TLS、加密、其他环境检测
2 分类介绍
先对图表说明一下，此图内容也就是我总结的全部内容，在此说明，内容只要来源于《加密与解密》第三版和《逆向工程核心原理》和部分论坛知识，我只是梳理整理，并无班门弄斧之意。
图中上面的黄色部分为注释部分“0 - - 1”表示调试前后的值对比，“2- -50000062h？”中的问号表示50000062这个值是个不确定值，有可能随环境变化，具体见下图：

终于写完，第一次发帖，写的不好，请大家见谅，我在最后已经贴好原版X-mind可编辑图形，如果读者有不太清楚之处请查看书中具体内容，也可以与我联系，欢迎大家对图表补充、完善并与论坛的朋友分享，也可以联系我更新，最后谢谢大家能看完，希望能和大家共同进步！

PNG图片在线链接：http://bbs.pediy.com/attachment.php?attachmentid=106276&stc=1&d=1472003613
x-mind图片在线链接：http://bbs.pediy.com/attachment.php?attachmentid=106275&stc=1&d=1472003613
网盘链接：https://yunpan.cn/cM3LSvWN5QPYG 访问密码 349d

[课程]Android-CTF解题方法汇总！

#调试逆向

上传的附件：

2.png （490.77kb，826次下载）
3.png （606.57kb，801次下载）
4.png （687.13kb，787次下载）
5.png （349.02kb，783次下载）
6.png （988.84kb，792次下载）
7.png （630.15kb，770次下载）
8.png （318.49kb，761次下载）
9.png （932.48kb，758次下载）
0.png （646.57kb，750次下载）
11.png （561.15kb，747次下载）
12.png （454.47kb，742次下载）
13.png （361.33kb，742次下载）
14.png （428.73kb，739次下载）
15.png （525.57kb，745次下载）
17.png （932.64kb，730次下载）
18.png （608.05kb，741次下载）
19.png （1.20MB，733次下载）
反调试可编辑源文件.zip （1.32MB，281次下载）
反调试图片.7z （4.79MB，219次下载）
图片说明.png （1.12MB，853次下载）

收藏・106

免费・3

支持

最新回复 (44) 1 2 ▶
orz1ruo 雪币： 16444 活跃值： (2463) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 610 粉丝 8 关注私信	orz1ruo 2 楼 Thank you for sharing. 2016-8-24 10:25 0
空空飞飞雪币： 2819 活跃值： (880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 110 粉丝 4 关注私信	空空飞飞 3 楼总结的很全面 2016-8-24 10:40 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 4 楼现在都流行作图啦？ 2016-8-24 10:41 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 5 楼作图是为了大家看的清楚，脱离文字苦海，第一次用这个软件，可费了不少时间哈 2016-8-24 10:46 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 6 楼总结得很好，我所知道的还有一种就是利用SEH来实现反调试。 2016-8-24 10:52 0
黑犬黑犬雪币： 37 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	黑犬黑犬 7 楼楼主好用心的总结，真心很赞，感谢分享~~ 2016-8-24 10:54 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 8 楼 Mark,thx… 2016-8-24 11:02 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 9 楼你说的没错，不过经我查询资料，一些资料说它并非严格的反调试，需要与其他检测技术合作使用才能达到反调试效果，所以我在上面途中只是简单介绍了，并把它与TLS技术放在了一起，还是多谢你的提醒 2016-8-24 11:03 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 10 楼多谢点赞哈，第一次发帖，格式好乱的说，后面还会总结常见加密技术和加壳技术等哈 2016-8-24 11:05 0
yangaijia 雪币： 50 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	yangaijia 11 楼楼主辛苦了,谢谢分享; 2016-8-24 14:06 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼辛苦了,帖图的格式不对,参考这帖: http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片或附件以如下形式存在 [ ATTACH ] xxxx [ /ATTACH ] 2016-8-25 10:57 0
phenixfly 雪币： 190 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	phenixfly 13 楼谢谢分享！我等小白有福啦！ 2016-8-25 13:35 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 14 楼不错，顶一个 2016-8-25 13:53 0
sqiwg 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sqiwg 15 楼很好，感谢楼主分享 2016-8-25 15:19 0
开非机雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	开非机 16 楼想问下楼主，你的图用什么软件编辑画出来的 2016-8-25 16:54 0
andying 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	andying 17 楼看了文章写得挺好的,不过好像有好几个点写漏掉了,如"暗桩""蓝屏""死机""重启""格盘" 2016-8-28 10:08 0
vitaminz 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	vitaminz 18 楼 MARK,思维导图做得不错 2016-8-28 10:31 0
ciiiiing 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ciiiiing 19 楼感谢楼主分享 2016-8-28 12:51 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 20 楼 EnableWindow BlockInput有些壳会用到 ,当OD中断到刚调用过这个API的时候就会 "卡死了".大部分的反调试都有方法解决了 , 硬件断点的检测 CloseHandle OutputDebugString NtSetInformationProcess 等还有很多... 2016-8-28 19:13 0
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 21 楼把花哨的背景图去掉，png就很小了。那个背景图没啥用，纯累赘~，改成淡灰色即可~ 2016-8-29 07:01 0
haovcf 雪币： 34 活跃值： (101) 能力值： ( LV4，RANK：50 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	haovcf 22 楼非常感谢，收藏了，有空慢慢看 2016-8-30 10:36 0
kejigbsh 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	kejigbsh 23 楼收藏了，感谢楼主 2016-8-30 10:58 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 24 楼 [QUOTE=kanxue;1442465]辛苦了,帖图的格式不对,参考这帖: http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片或附件以如下形式存在 [ ATTACH ] xxxx [ /ATTACH ]...[/QUOTE] 多谢看雪大大提醒，第一次发帖没经验，下次会注意 2016-9-2 08:57 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 25 楼多谢提醒，下次注意 2016-9-2 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chenwupedi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) 1 2 ▶
orz1ruo 雪币： 16444 活跃值： (2463) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 610 粉丝 8 关注私信	orz1ruo 2 楼 Thank you for sharing. 2016-8-24 10:25 0
空空飞飞雪币： 2819 活跃值： (880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 110 粉丝 4 关注私信	空空飞飞 3 楼总结的很全面 2016-8-24 10:40 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 4 楼现在都流行作图啦？ 2016-8-24 10:41 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 5 楼作图是为了大家看的清楚，脱离文字苦海，第一次用这个软件，可费了不少时间哈 2016-8-24 10:46 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 6 楼总结得很好，我所知道的还有一种就是利用SEH来实现反调试。 2016-8-24 10:52 0
黑犬黑犬雪币： 37 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	黑犬黑犬 7 楼楼主好用心的总结，真心很赞，感谢分享~~ 2016-8-24 10:54 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 8 楼 Mark,thx… 2016-8-24 11:02 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 9 楼你说的没错，不过经我查询资料，一些资料说它并非严格的反调试，需要与其他检测技术合作使用才能达到反调试效果，所以我在上面途中只是简单介绍了，并把它与TLS技术放在了一起，还是多谢你的提醒 2016-8-24 11:03 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 10 楼多谢点赞哈，第一次发帖，格式好乱的说，后面还会总结常见加密技术和加壳技术等哈 2016-8-24 11:05 0
yangaijia 雪币： 50 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	yangaijia 11 楼楼主辛苦了,谢谢分享; 2016-8-24 14:06 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 12 楼辛苦了,帖图的格式不对,参考这帖: http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片或附件以如下形式存在 [ ATTACH ] xxxx [ /ATTACH ] 2016-8-25 10:57 0
phenixfly 雪币： 190 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	phenixfly 13 楼谢谢分享！我等小白有福啦！ 2016-8-25 13:35 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 14 楼不错，顶一个 2016-8-25 13:53 0
sqiwg 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sqiwg 15 楼很好，感谢楼主分享 2016-8-25 15:19 0
开非机雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	开非机 16 楼想问下楼主，你的图用什么软件编辑画出来的 2016-8-25 16:54 0
andying 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	andying 17 楼看了文章写得挺好的,不过好像有好几个点写漏掉了,如"暗桩""蓝屏""死机""重启""格盘" 2016-8-28 10:08 0
vitaminz 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	vitaminz 18 楼 MARK,思维导图做得不错 2016-8-28 10:31 0
ciiiiing 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ciiiiing 19 楼感谢楼主分享 2016-8-28 12:51 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 20 楼 EnableWindow BlockInput有些壳会用到 ,当OD中断到刚调用过这个API的时候就会 "卡死了".大部分的反调试都有方法解决了 , 硬件断点的检测 CloseHandle OutputDebugString NtSetInformationProcess 等还有很多... 2016-8-28 19:13 0
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 21 楼把花哨的背景图去掉，png就很小了。那个背景图没啥用，纯累赘~，改成淡灰色即可~ 2016-8-29 07:01 0
haovcf 雪币： 34 活跃值： (101) 能力值： ( LV4，RANK：50 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	haovcf 22 楼非常感谢，收藏了，有空慢慢看 2016-8-30 10:36 0
kejigbsh 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	kejigbsh 23 楼收藏了，感谢楼主 2016-8-30 10:58 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 24 楼 [QUOTE=kanxue;1442465]辛苦了,帖图的格式不对,参考这帖: http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片或附件以如下形式存在 [ ATTACH ] xxxx [ /ATTACH ]...[/QUOTE] 多谢看雪大大提醒，第一次发帖没经验，下次会注意 2016-9-2 08:57 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 25 楼多谢提醒，下次注意 2016-9-2 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复