首页
社区
课程
招聘
[原创][翻译]反调试:对象句柄
发表于: 2021-6-9 15:43 7058

[原创][翻译]反调试:对象句柄

2021-6-9 15:43
7058

备注
原文地址:https://anti-debug.checkpoint.com/techniques/object-handles.html
原文标题:Anti-Debug: Object Handles
更新日期:2021年6月9日
此文后期:根据自身所学进行内容扩充
因自身技术有限,只能尽自身所能翻译国外技术文章,供大家学习,若有不当或可完善的地方,希望可以指出,用于共同完善这篇文章。



目录

对象句柄

1. OpenProcess()

2. CreateFile()

3. CloseHandle()

4. LoadLibrary()

5. NtQueryObject()

反制措施


对象句柄
下面的一组技术代表了使用内核对象句柄来检测调试器存在的检查。一些接受内核对象句柄作为参数的WinAPI函数在调试时可能会有不同的行为,或者会因为调试器的实现而产生副作用。此外,在调试开始时,操作系统会创建特定的内核对象。
1. OpenProcess()
一些调试器可以通过在csrss.exe进程上使用kernel32!OpenProcess()函数来检测。只有当该进程的用户是管理员组的成员并且有调试权限时,该调用才会成功。
C/C++ 代码:



2. CreateFile()
当CREATE_PROCESS_DEBUG_EVENT事件发生时,被调试文件的句柄被保存在CREATE_PROCESS_DEBUG_INFO结构中。因此,调试器可以从这个文件中读取调试信息。如果这个句柄没有被调试器关闭,这个文件就不会被打开独占访问。有些调试器会忘记关闭这个句柄。

这个技巧使用kernel32!CreateFileW()(或者kernel32!CreateFileA())来独占打开当前进程的文件。如果调用失败,我们可以认为当前进程是在有调试器的情况下运行的。
C/C++ 代码:


3. CloseHandle()
如果一个进程在调试器下运行,并且一个无效的句柄被传递给ntdll!NtClose()或kernel32!CloseHandle()函数,那么将引发EXCEPTION_INVALID_HANDLE(0xC0000008)异常。这个异常可以被一个异常处理程序缓存起来。如果控制被传递给异常处理程序,表明有一个调试器存在。
C/C++ 代码:



4. LoadLibrary()
当使用kernel32!LoadLibraryW()(或kernel32!LoadLibraryA())函数将一个文件加载到进程内存时,LOAD_DLL_DEBUG_EVENT事件发生。被加载文件的句柄将被保存在LOAD_DLL_DEBUG_INFO结构中。因此,调试器可以从这个文件中读取调试信息。如果这个句柄没有被调试器关闭,这个文件就不会被打开独占访问。有些调试器会忘记关闭这个句柄。

为了检查调试器的存在,我们可以用kernel32!LoadLibraryA()加载任何文件,并尝试用kernel32!CreateFileA()独家打开它。如果kernel32!CreateFileA()调用失败,说明调试器是存在的。
C/C++ 代码:



5. NtQueryObject()
当一个调试会话开始时,一个叫做 “debug object”的内核对象被创建,并有一个句柄与之关联。使用ntdll!NtQueryObject()函数,可以查询现有对象的列表,并检查与任何存在的调试对象相关的句柄数量。

然而这个技术不能确定当前进程是否正在被调试。它只能显示自系统启动以来,调试器是否在系统上运行。
C/C++ 代码:



反制措施
反制这些检查的最简单的方法是只需手动跟踪程序直到检查,然后跳过它(例如用NOP补丁或改变指令指针或在检查后改变零标志寄存器)。

如果你写一个反调试方案,你需要拦截列出的函数,在分析其输入后改变返回值:

ntdll!OpenProcess:如果第三个参数是csrss.exe的句柄,则返回NULL。

ntdll!NtClose:你可以使用ntdll!NtQueryObject()检查是否可以检索到关于输入句柄的任何信息,如果句柄无效,则不显示异常。

ntdll!NtQueryObject: 如果ObjectAllTypesInformation类被查询,从结果中过滤调试对象。


以下技术应该在没有拦截的情况下处理:

ntdll!NtCreateFile: 太通用了,无法反制。然而,如果你为一个特定的调试器写一个插件,你可以确保被调试文件的句柄被关闭。

kernel32!LoadLibraryW/A:没有反制措施。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 4
支持
分享
最新回复 (1)
雪    币: 1810
活跃值: (4020)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2021-6-17 11:04
0
游客
登录 | 注册 方可回帖
返回
//