[原创]初探Windows调试原理和反附加手段-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]初探Windows调试原理和反附加手段

2021-8-19 21:31 15214

[原创]初探Windows调试原理和反附加手段

Jev0n

2021-8-19 21:31

15214

0x00 前言

最近粗浅的研究了一下Windows应用层相关调试API和对应调试原理，以达到实现反附加的功能。本文内容主要参考《软件调试》和网络上相关优秀文章，并且主要侧重在应用层调试附加方面，关于内核层面因为水平有限本文没有详细展现。

0x01 用户态调试基本流程

首先我们先用调试API编写一个最简单的附加调试器

int main(int argc,TCHAR *argv[])
{
    DWORD dwPID;
       BOOL waitEvent = TRUE;
    if (argc > 1) {
        dwPID = atoi(argv[1]);
    }
    else {
        printf("usage: MyDebugger.exe dwPID\n");
        exit(0);
    }
 
    DebugActiveProcess(dwPID);
    while (waitEvent)
    {
        DEBUG_EVENT MyDebugInfo;
        waitEvent = WaitForDebugEvent(&MyDebugInfo, INFINITE); // Waiting
        switch (MyDebugInfo.dwDebugEventCode)
        {
            case EXIT_PROCESS_DEBUG_EVENT:
                waitEvent = FALSE
                break;
        }
        if (waitEvent) {
            ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
        }
    }
    return 0;
}

上文主要用到的就是 DebugActiveProcess 这个调试API对目标PID进程进行调试附加操作，如果我们要在程序创建的时候就对程序进行调试可以在Debugger中执行CreateProcess并将第6个参数传入DEBUG_ONLY_THIS_PROCESS，这样设置之后，子进程发生的调试事件会通知给父进程处理。

CreateProcess(path, // 可执行模块路径
    NULL, // 命令行
    NULL, // 安全描述符
    NULL, // 线程属性是否可继承
    FALSE, // 否从调用进程处继承了句柄
    DEBUG_ONLY_THIS_PROCESS, // 以“只”调试的方式启动
    NULL, // 新进程的环境块
    NULL, // 新进程的当前工作路径（当前目录）
    &stcStartupInfo, // 指定进程的主窗口特性
    &stcProcInfo)) // 接收新进程的识别信息

DEBUG_EVENT中的dwDebugEventCode表示调试信息的种类，对于DEBUG_EVENT详细的介绍可以查看MSDN，简单来说就是用共用体来存储具体的数据。

typedef struct _DEBUG_EVENT {
    DWORD dwDebugEventCode;
    DWORD dwProcessId;
    DWORD dwThreadId;
    union {
        EXCEPTION_DEBUG_INFO Exception;
        CREATE_THREAD_DEBUG_INFO CreateThread;
        CREATE_PROCESS_DEBUG_INFO         
        CreateProcessInfo;
        EXIT_THREAD_DEBUG_INFO ExitThread;
        EXIT_PROCESS_DEBUG_INFO ExitProcess;
        LOAD_DLL_DEBUG_INFO LoadDll;
        UNLOAD_DLL_DEBUG_INFO UnloadDll;
        OUTPUT_DEBUG_STRING_INFO DebugString;
        RIP_INFO RipInfo;
    } u;
} DEBUG_EVENT, *LPDEBUG_EVENT;

0x02 用户态 DebugActiveProcess 实现

我们通过查找NT5的源码可以看到DebugActiveProcess 具体实现代码，主要就是调用了DbgUiConnectToDbg ，ProcessIdToHandle和DbgUiDebugActiveProcess这三个函数

DbgUiConnectToDbg

首先判断TEB->DbgSsReserved[1]是否保存着调试对象的句柄，如果存在则直接返回函数如果不存在就进行初始化并调用NtCreateDebugObject创建调试对象

ProcessIdToHandle

如果是伪句柄则调用CsrGetProcessId获取csrss.exe的PID，然后调用NtOpenProcess获得对应进程句柄，给后续调用做准备。

DbgUiDebugActiveProcess

此函数首先传入进程和调试对象的句柄进入内核，然后调用DbgUiIssueRemoteBreakin函数创建线程开始地址为DbgUiRemoteBreakin的远程线程让被调试进程断下来，如果远程线程设置失败则调用DbgUiStopDebugging停止调试。这个地方创建了远程线程是在将来反附加检测的主要检测点。

全览图

0x03 调试子系统

Windows的调试子系统使用调试事件驱动，这个和窗体的消息驱动是很类似的。在调试子系统中使用WaitForDebugEvent在用户态等待调试事件，当调试器处理调试事件时，被调试进程会被挂起，所以调试器处理完毕后要调用ContinueDebugEvent使被挂起的被调试进程继续运行。

下图是张银奎老师在软件调试纵横谈中的调试模型，在用户空间部分就是我们此前通过源码分析的用户态附加调试API DebugActiveProcess 的基本流程，在系统空间维护着一个DebugObject的链表并且通过Dbgk*例程采集和传递调试事件。

用户态调试模型

0x04 反附加手段

根据此前内容知道，当调试器附加一个进程的时候是调用DebugActiveProcess函数，该函数内部调用了DbgUiDebugActiveProcess，此函数内部会调用DbgUiIssueRemoteBreakin函数，最后内部则会通过RtlCreateUserThread在被调试进程内创建一个线程，线程的起始地址是DbgUiRemoteBreakin。

在被调试进程内DbgUiRemoteBreakin会判断PEB中的BeingDebugged标志位，如果在调试则调用DbgBreakPoint函数，调试器附加后被调试进程就中断在DbgBreakPoint函数内。

根据上述流程我们可以知道在被调试进程（我们的程序）会创建新线程，线程起始函数是DbgUiRemoteBreakin。所以我们可以Hook DbgUiRemoteBreakin 直接调用 ExitProcess 结束我们的程序。

0x05 反反附加插件

本文以ScyllaHide为例子，因为ScyllaHide是开源项目可以直接分析源码，插件加载后我们此前设置的HOOK会被还原。

对于SharpOD，他会在插件加载的时候Hook调试器的DebugActiveProcess和CreateProcessInternalW，在DebugActiveProcessDetour 会在被调试进程中添加ShellCode，并HOOK LdrInitializeThunk 跳转到ShellCode中断，并在附加进程的调试事件到达后还原LdrInitializeThunk 。

0x06 x64dbg的Titan Engine

对于新版x64dbg会内嵌Titan Engine（2020年11月12日版本后添加），所以SharpOD插件对于反反附加对新版本x64dbg起不到作用。在Titan Engine内部自己实现了DebugActiveProcess一套流程。

并且没有调用DbgUiIssueRemoteBreakin让程序被调试器附加的时候断下。

0x07 总结及参考链接

本文初步学习了Windows用户层基本的调试原理和模型，并给出了一个简单的反附加方案，同时分析了目前常见的反反附加插件。不过同时存在不知道如何绕过SharpOD的反反附加检测等问题，还需要进一步学习研究。因为本人水平有限，如果存在错误还望各位前辈指正。

Windows 调试原理学习

调试器原理

软件调试纵横谈

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#调试逆向

收藏・38

点赞・7

打赏

最新回复 (4)
coneco 雪币： 3446 活跃值： (3708) 能力值： ( LV8，RANK：131 ) 在线值：发帖 9 回帖 97 粉丝 50 关注私信	coneco 2 2021-8-20 00:14 2 楼 0 Sharp OD 内联hook LdrInitializeThunk思路不错（配合x32dbg的回调函数）。最后于 2021-8-20 10:01 被coneco编辑，原因：
Willarcap 雪币： 9680 活跃值： (3840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 75 粉丝 10 关注私信	Willarcap 2021-8-20 09:46 3 楼 0 可以参考坛主个人的文章 https://bbs.pediy.com/user-home-767964.htm
小希希雪币： 1501 活跃值： (3260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 321 粉丝 17 关注私信	小希希 2021-9-21 22:27 4 楼 0 local hook_LdrInitializeThunk = 0 local hprocess = nil function StrongOD方法附加(PID) if 1 == 1 then hprocess = ffi.C.OpenProcess( 0x001FFFFF, 0, tonumber(PID)) local Code = "\xcc\x90\xc3" local Buf = ffi.C.VirtualAllocEx(hprocess,nil,#Code,win.MEM_COMMIT,win.PAGE_EXECUTE_READWRITE); if Buf == nil then print("DbgBreakPoint 失败:" .. win.ErrorMessage(ffi.C.GetLastError())) end local ret,err = win.WriteMemory(hprocess,Buf,Code) if ret ~= 1 then print(err) end local DbgUiIssueRemoteBreakin = ptonumber(win.ntdll.DbgUiIssueRemoteBreakin) + 0x15 print("DbgUiIssueRemoteBreakin",bit.tohex(DbgUiIssueRemoteBreakin)) if DbgUiIssueRemoteBreakin != 0 then local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",DbgUiIssueRemoteBreakin),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) -- local ptr = ffi.cast("char ",跳过创建远程线程地址) -- ffi.copy(ptr,"\xeb\x16",2) ffi.cast("DWORD ",DbgUiIssueRemoteBreakin)[0] = ptonumber(Buf) end local LdrInitializeThunk = win.ntdll.LdrInitializeThunk if LdrInitializeThunk!= nil then --保存字节 -- print("hook LdrInitializeThunk",LdrInitializeThunk) local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",LdrInitializeThunk),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) local trampolineaddr = LdrInitializeThunk local jmptoaddr = ptonumber(Buf) - ptonumber(trampolineaddr) - 5 local jmpcode = ffi.new("char[5]",0xe9) ffi.cast("int *",jmpcode + 1)[0] = jmptoaddr win.WriteMemory(hprocess,trampolineaddr,ffi.string(jmpcode,5)) hook_LdrInitializeThunk = ptonumber(trampolineaddr) end end end StrongOD附加方法,用od的年月就超了一份,但是为什么要这么做,请楼主讲解下
小希希雪币： 1501 活跃值： (3260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 321 粉丝 17 关注私信	小希希 2021-9-21 22:37 5 楼 0 0042F814 \| 75 29 \| jne ollydbgold.42F83F \| 0042F816 \| 8B55 D8 \| mov edx, dword ptr ss:[ebp-0x28] \| 0042F819 \| 8957 2C \| mov dword ptr ds:[edi+0x2C], edx \| 0042F81C \| C707 01000000 \| mov dword ptr ds:[edi], 0x1 \| 0042F822 \| 6A 00 \| push 0x0 \| 0042F824 \| 8B4D D8 \| mov ecx, dword ptr ss:[ebp-0x28] \| 0042F827 \| 41 \| inc ecx \| 0042F828 \| 51 \| push ecx \| 0042F829 \| 8B45 D8 \| mov eax, dword ptr ss:[ebp-0x28] \| 0042F82C \| 50 \| push eax \| 0042F82D \| E8 E69CFEFF \| call <ollydbgold._Deletebreakpoints> \| 0042F832 \| 83C4 0C \| add esp, 0xC \| 0042F835 \| B8 01000000 \| mov eax, 0x1 \| 0042F83A \| E9 E61B0000 \| jmp ollydbgold.431425 \| 0042F83F \| 837D F0 00 \| cmp dword ptr ss:[ebp-0x10], 0x0 \| 0042F843 \| 0F84 16020000 \| je ollydbgold.42FA5F \| 0042F849 \| C705 80574D00 0100000 \| mov dword ptr ds:[0x4D5780], 0x1 \| 写1开始扫描模块 0042F853 \| E8 14FB0200 \| call ollydbgold.45F36C \| 0042F858 \| E8 B7100300 \| call <ollydbgold._Listmemory> \| od可以关闭远程断点,不扫描调试进程模块设置上面内存为1 就开始扫描也可能我都关闭了od远程断点,所以没体会到 hook_LdrInitializeThunk 的效果 function _NtDebugActiveProcess(PID) -- --修改代码禁止创建远程线程 local paddr = ptonumber(win.ntdll.DbgUiDebugActiveProcess) + 0x1e if paddr then print("跳过创建远程线程地址",bit.tohex(paddr)) local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",paddr),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) local ptr = ffi.cast("char ",paddr) ffi.copy(ptr,"\xeb\x16",2) StrongOD方法附加(PID) end return oNtDebugActiveProcess(PID) end 我都是这么干的,干掉远程线程断点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Jev0n

发帖

回帖

RANK

关注

私信

他的文章

[原创]初探Windows调试原理和反附加手段

[原创]某聊天工具消息记录数据库文件解密逆向分析

[原创]记一次UltraISO 9.7.5的逆向破解

[原创]KimSuky组织一远控样本分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
coneco 雪币： 3446 活跃值： (3708) 能力值： ( LV8，RANK：131 ) 在线值：发帖 9 回帖 97 粉丝 50 关注私信	coneco 2 2021-8-20 00:14 2 楼 0 Sharp OD 内联hook LdrInitializeThunk思路不错（配合x32dbg的回调函数）。最后于 2021-8-20 10:01 被coneco编辑，原因：
Willarcap 雪币： 9680 活跃值： (3840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 75 粉丝 10 关注私信	Willarcap 2021-8-20 09:46 3 楼 0 可以参考坛主个人的文章 https://bbs.pediy.com/user-home-767964.htm
小希希雪币： 1501 活跃值： (3260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 321 粉丝 17 关注私信	小希希 2021-9-21 22:27 4 楼 0 local hook_LdrInitializeThunk = 0 local hprocess = nil function StrongOD方法附加(PID) if 1 == 1 then hprocess = ffi.C.OpenProcess( 0x001FFFFF, 0, tonumber(PID)) local Code = "\xcc\x90\xc3" local Buf = ffi.C.VirtualAllocEx(hprocess,nil,#Code,win.MEM_COMMIT,win.PAGE_EXECUTE_READWRITE); if Buf == nil then print("DbgBreakPoint 失败:" .. win.ErrorMessage(ffi.C.GetLastError())) end local ret,err = win.WriteMemory(hprocess,Buf,Code) if ret ~= 1 then print(err) end local DbgUiIssueRemoteBreakin = ptonumber(win.ntdll.DbgUiIssueRemoteBreakin) + 0x15 print("DbgUiIssueRemoteBreakin",bit.tohex(DbgUiIssueRemoteBreakin)) if DbgUiIssueRemoteBreakin != 0 then local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",DbgUiIssueRemoteBreakin),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) -- local ptr = ffi.cast("char ",跳过创建远程线程地址) -- ffi.copy(ptr,"\xeb\x16",2) ffi.cast("DWORD ",DbgUiIssueRemoteBreakin)[0] = ptonumber(Buf) end local LdrInitializeThunk = win.ntdll.LdrInitializeThunk if LdrInitializeThunk!= nil then --保存字节 -- print("hook LdrInitializeThunk",LdrInitializeThunk) local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",LdrInitializeThunk),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) local trampolineaddr = LdrInitializeThunk local jmptoaddr = ptonumber(Buf) - ptonumber(trampolineaddr) - 5 local jmpcode = ffi.new("char[5]",0xe9) ffi.cast("int *",jmpcode + 1)[0] = jmptoaddr win.WriteMemory(hprocess,trampolineaddr,ffi.string(jmpcode,5)) hook_LdrInitializeThunk = ptonumber(trampolineaddr) end end end StrongOD附加方法,用od的年月就超了一份,但是为什么要这么做,请楼主讲解下
小希希雪币： 1501 活跃值： (3260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 321 粉丝 17 关注私信	小希希 2021-9-21 22:37 5 楼 0 0042F814 \| 75 29 \| jne ollydbgold.42F83F \| 0042F816 \| 8B55 D8 \| mov edx, dword ptr ss:[ebp-0x28] \| 0042F819 \| 8957 2C \| mov dword ptr ds:[edi+0x2C], edx \| 0042F81C \| C707 01000000 \| mov dword ptr ds:[edi], 0x1 \| 0042F822 \| 6A 00 \| push 0x0 \| 0042F824 \| 8B4D D8 \| mov ecx, dword ptr ss:[ebp-0x28] \| 0042F827 \| 41 \| inc ecx \| 0042F828 \| 51 \| push ecx \| 0042F829 \| 8B45 D8 \| mov eax, dword ptr ss:[ebp-0x28] \| 0042F82C \| 50 \| push eax \| 0042F82D \| E8 E69CFEFF \| call <ollydbgold._Deletebreakpoints> \| 0042F832 \| 83C4 0C \| add esp, 0xC \| 0042F835 \| B8 01000000 \| mov eax, 0x1 \| 0042F83A \| E9 E61B0000 \| jmp ollydbgold.431425 \| 0042F83F \| 837D F0 00 \| cmp dword ptr ss:[ebp-0x10], 0x0 \| 0042F843 \| 0F84 16020000 \| je ollydbgold.42FA5F \| 0042F849 \| C705 80574D00 0100000 \| mov dword ptr ds:[0x4D5780], 0x1 \| 写1开始扫描模块 0042F853 \| E8 14FB0200 \| call ollydbgold.45F36C \| 0042F858 \| E8 B7100300 \| call <ollydbgold._Listmemory> \| od可以关闭远程断点,不扫描调试进程模块设置上面内存为1 就开始扫描也可能我都关闭了od远程断点,所以没体会到 hook_LdrInitializeThunk 的效果 function _NtDebugActiveProcess(PID) -- --修改代码禁止创建远程线程 local paddr = ptonumber(win.ntdll.DbgUiDebugActiveProcess) + 0x1e if paddr then print("跳过创建远程线程地址",bit.tohex(paddr)) local lpflOldProtect = ffi.new("DWORD[1]") local ret = ffi.C.VirtualProtect(ffi.cast("void ",paddr),5,win.PAGE_EXECUTE_READWRITE,lpflOldProtect) local ptr = ffi.cast("char ",paddr) ffi.copy(ptr,"\xeb\x16",2) StrongOD方法附加(PID) end return oNtDebugActiveProcess(PID) end 我都是这么干的,干掉远程线程断点
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复