首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
7
[原创]初探Windows调试原理和反附加手段
发表于: 2021-8-19 21:31 17482

[原创]初探Windows调试原理和反附加手段

Jev0n 活跃值
2021-8-19 21:31
17482

0x00 前言

最近粗浅的研究了一下Windows应用层相关调试API和对应调试原理,以达到实现反附加的功能。本文内容主要参考《软件调试》和网络上相关优秀文章,并且主要侧重在应用层调试附加方面,关于内核层面因为水平有限本文没有详细展现。

0x01 用户态调试基本流程

首先我们先用调试API编写一个最简单的附加调试器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
int main(int argc,TCHAR *argv[])
{
    DWORD dwPID;
       BOOL waitEvent = TRUE;
    if (argc > 1) {
        dwPID = atoi(argv[1]);
    }
    else {
        printf("usage: MyDebugger.exe dwPID\n");
        exit(0);
    }
 
    DebugActiveProcess(dwPID);
    while (waitEvent)
    {
        DEBUG_EVENT MyDebugInfo;
        waitEvent = WaitForDebugEvent(&MyDebugInfo, INFINITE); // Waiting
        switch (MyDebugInfo.dwDebugEventCode)
        {
            case EXIT_PROCESS_DEBUG_EVENT:
                waitEvent = FALSE
                break;
        }
        if (waitEvent) {
            ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
        }
    }
    return 0;
}

上文主要用到的就是 DebugActiveProcess 这个调试API对目标PID进程进行调试附加操作,如果我们要在程序创建的时候就对程序进行调试可以在Debugger中执行CreateProcess并将第6个参数传入DEBUG_ONLY_THIS_PROCESS,这样设置之后,子进程发生的调试事件会通知给父进程处理。

1
2
3
4
5
6
7
8
9
10
CreateProcess(path, // 可执行模块路径
    NULL, // 命令行
    NULL, // 安全描述符
    NULL, // 线程属性是否可继承
    FALSE, // 否从调用进程处继承了句柄
    DEBUG_ONLY_THIS_PROCESS, // 以“只”调试的方式启动
    NULL, // 新进程的环境块
    NULL, // 新进程的当前工作路径(当前目录)
    &stcStartupInfo, // 指定进程的主窗口特性
    &stcProcInfo)) // 接收新进程的识别信息

DEBUG_EVENT中的dwDebugEventCode表示调试信息的种类,对于DEBUG_EVENT详细的介绍可以查看MSDN,简单来说就是用共用体来存储具体的数据。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
typedef struct _DEBUG_EVENT {
    DWORD dwDebugEventCode;
    DWORD dwProcessId;
    DWORD dwThreadId;
    union {
        EXCEPTION_DEBUG_INFO Exception;
        CREATE_THREAD_DEBUG_INFO CreateThread;
        CREATE_PROCESS_DEBUG_INFO        
        CreateProcessInfo;
        EXIT_THREAD_DEBUG_INFO ExitThread;
        EXIT_PROCESS_DEBUG_INFO ExitProcess;
        LOAD_DLL_DEBUG_INFO LoadDll;
        UNLOAD_DLL_DEBUG_INFO UnloadDll;
        OUTPUT_DEBUG_STRING_INFO DebugString;
        RIP_INFO RipInfo;
    } u;
} DEBUG_EVENT, *LPDEBUG_EVENT;

0x02 用户态 DebugActiveProcess 实现

我们通过查找NT5的源码可以看到DebugActiveProcess 具体实现代码,主要就是调用了DbgUiConnectToDbg ,ProcessIdToHandle和DbgUiDebugActiveProcess这三个函数

 

image-20210818203841617

 

image-20210818205033766

DbgUiConnectToDbg

首先判断TEB->DbgSsReserved[1]是否保存着调试对象的句柄,如果存在则直接返回函数如果不存在就进行初始化并调用NtCreateDebugObject创建调试对象

 

image-20210818205728745

 

image-20210818211454716

ProcessIdToHandle

如果是伪句柄则调用CsrGetProcessId获取csrss.exe的PID,然后调用NtOpenProcess获得对应进程句柄,给后续调用做准备。

 

image-20210818213529075

 

image-20210818214255906

DbgUiDebugActiveProcess

此函数首先传入进程和调试对象的句柄进入内核,然后调用DbgUiIssueRemoteBreakin函数创建线程开始地址为DbgUiRemoteBreakin的远程线程让被调试进程断下来,如果远程线程设置失败则调用DbgUiStopDebugging停止调试。这个地方创建了远程线程是在将来反附加检测的主要检测点。

 

image-20210818211939159

 

image-20210818213257737

全览图

0x03 调试子系统

Windows的调试子系统使用调试事件驱动,这个和窗体的消息驱动是很类似的。在调试子系统中使用WaitForDebugEvent在用户态等待调试事件,当调试器处理调试事件时,被调试进程会被挂起,所以调试器处理完毕后要调用ContinueDebugEvent使被挂起的被调试进程继续运行。

 

下图是张银奎老师在软件调试纵横谈中的调试模型,在用户空间部分就是我们此前通过源码分析的用户态附加调试API DebugActiveProcess 的基本流程,在系统空间维护着一个DebugObject的链表并且通过Dbgk*例程采集和传递调试事件。

 

用户态调试模型


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
赞赏记录
参与人
雪币
留言
时间
PLEBFE
为你点赞~
2022-7-28 00:18
mb_ylqnurpt
为你点赞~
2022-5-25 20:33
Jev0n
为你点赞~
2021-9-10 14:20
metaworm
为你点赞~
2021-9-6 00:33
KenLi
为你点赞~
2021-8-23 09:06
信易达
为你点赞~
2021-8-23 02:01
coneco
为你点赞~
2021-8-20 00:12
最新回复 (4)
coneco
雪    币: 5138
活跃值: (4925)
能力值: ( LV10,RANK:171 )
在线值:
发帖
回帖
粉丝
私信
2

Sharp OD 内联hook LdrInitializeThunk思路不错(配合x32dbg的回调函数)。

最后于 2021-8-20 10:01 被coneco编辑 ,原因:
2021-8-20 00:14
0
Willarcap
雪    币: 10772
活跃值: (4915)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
可以参考坛主 个人的文章
https://bbs.pediy.com/user-home-767964.htm
2021-8-20 09:46
0
小希希
雪    币: 1989
活跃值: (4245)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
local hook_LdrInitializeThunk = 0
local hprocess = nil
function StrongOD方法附加(PID)
    if 1 == 1 then
        hprocess = ffi.C.OpenProcess( 0x001FFFFF, 0, tonumber(PID))
         
        local Code = "\xcc\x90\xc3"
        local Buf = ffi.C.VirtualAllocEx(hprocess,nil,#Code,win.MEM_COMMIT,win.PAGE_EXECUTE_READWRITE);
        if Buf == nil then
            print("DbgBreakPoint 失败:" .. win.ErrorMessage(ffi.C.GetLastError()))
        end
        local ret,err = win.WriteMemory(hprocess,Buf,Code)
        if ret ~= 1 then
            print(err) 
        end
         
        local DbgUiIssueRemoteBreakin = ptonumber(win.ntdll.DbgUiIssueRemoteBreakin) + 0x15
        print("DbgUiIssueRemoteBreakin",bit.tohex(DbgUiIssueRemoteBreakin))
        if DbgUiIssueRemoteBreakin != 0 then
            local lpflOldProtect = ffi.new("DWORD[1]")    
            local ret = ffi.C.VirtualProtect(ffi.cast("void *",DbgUiIssueRemoteBreakin),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect)
            -- local ptr = ffi.cast("char *",跳过创建远程线程地址)    
            -- ffi.copy(ptr,"\xeb\x16",2)
            ffi.cast("DWORD *",DbgUiIssueRemoteBreakin)[0] = ptonumber(Buf)
        end
         
        local LdrInitializeThunk = win.ntdll.LdrInitializeThunk
        if  LdrInitializeThunk!= nil then
            --保存字节
            -- print("hook LdrInitializeThunk",LdrInitializeThunk)
            local lpflOldProtect = ffi.new("DWORD[1]")    
            local ret = ffi.C.VirtualProtect(ffi.cast("void *",LdrInitializeThunk),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect)
            local trampolineaddr = LdrInitializeThunk
            local jmptoaddr      = ptonumber(Buf) - ptonumber(trampolineaddr) - 5
            local jmpcode        = ffi.new("char[5]",0xe9)
            ffi.cast("int *",jmpcode + 1)[0] = jmptoaddr
            win.WriteMemory(hprocess,trampolineaddr,ffi.string(jmpcode,5))    
            hook_LdrInitializeThunk = ptonumber(trampolineaddr) 
        end
    end
end
1
StrongOD附加方法,用od的年月就超了一份,但是为什么要这么做,请楼主讲解下


2021-9-21 22:27
0
小希希
雪    币: 1989
活跃值: (4245)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
0042F814              | 75 29                 | jne     ollydbgold.42F83F                   |
0042F816              | 8B55 D8               | mov     edx, dword ptr ss:[ebp-0x28]        |
0042F819              | 8957 2C               | mov     dword ptr ds:[edi+0x2C], edx        |
0042F81C              | C707 01000000         | mov     dword ptr ds:[edi], 0x1             |
0042F822              | 6A 00                 | push    0x0                                 |
0042F824              | 8B4D D8               | mov     ecx, dword ptr ss:[ebp-0x28]        |
0042F827              | 41                    | inc     ecx                                 |
0042F828              | 51                    | push    ecx                                 |
0042F829              | 8B45 D8               | mov     eax, dword ptr ss:[ebp-0x28]        |
0042F82C              | 50                    | push    eax                                 |
0042F82D              | E8 E69CFEFF           | call    <ollydbgold._Deletebreakpoints>     |
0042F832              | 83C4 0C               | add     esp, 0xC                            |
0042F835              | B8 01000000           | mov     eax, 0x1                            |
0042F83A              | E9 E61B0000           | jmp     ollydbgold.431425                   |
0042F83F              | 837D F0 00            | cmp     dword ptr ss:[ebp-0x10], 0x0        |
0042F843              | 0F84 16020000         | je      ollydbgold.42FA5F                   |
0042F849              | C705 80574D00 0100000 | mov     dword ptr ds:[0x4D5780], 0x1        | 写1开始扫描模块
0042F853              | E8 14FB0200           | call    ollydbgold.45F36C                   |
0042F858              | E8 B7100300           | call    <ollydbgold._Listmemory>            |

od可以关闭远程断点,不扫描调试进程模块设置 上面内存为1 就开始扫描


也可能我都关闭了od远程断点,所以没体会到 hook_LdrInitializeThunk 的效果


1
2
3
4
5
6
7
8
9
10
11
12
13
function _NtDebugActiveProcess(PID)    --
    --修改 代码禁止创建远程线程
    local paddr = ptonumber(win.ntdll.DbgUiDebugActiveProcess) + 0x1e
    if paddr then
        print("跳过创建远程线程地址",bit.tohex(paddr))
        local lpflOldProtect = ffi.new("DWORD[1]")    
        local ret = ffi.C.VirtualProtect(ffi.cast("void *",paddr),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect)
        local ptr = ffi.cast("char *",paddr)    
        ffi.copy(ptr,"\xeb\x16",2)
        StrongOD方法附加(PID)
    end    
    return oNtDebugActiveProcess(PID)
end

我都是这么干的,干掉远程线程断点

2021-9-21 22:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》