首页
社区
课程
招聘
[原创]XAntiDenbug的检测逻辑与基本反调试
发表于: 2024-3-2 16:53 12103

[原创]XAntiDenbug的检测逻辑与基本反调试

2024-3-2 16:53
12103

可能存在错误 大佬们可以的话给提示

图片描述

XAntiDebug 初始化获取当前模块地址 与设置了一个标识

图片描述
获取当前系统相关信息

图片描述

图片描述
会设置线程标识
图片描述
把调试端口置空

图片描述

添加调加校验crc32的初始值
图片描述
获取64位 ZwQueryInformationProcess的地址 然后减去ntdll64位模块地址 算偏移=0x000000000009d370
图片描述

图片描述
图片描述
图片描述
这段代码是直接分析ntdl pe结构 然后计算这个偏移 得到代码 直接得到文件中的代码
图片描述
为了得到映射的下标 构造系统调用 代码目保证应用层的NtQueryInformationProcess正确
并使用crc保护自己的代码

图片描述

图片描述
图片描述

fs:[30h]指向PEB的基址
图片描述

图片描述
检测BeingDebugged的值

图片描述
实际上是查询NtQueryInformationProcess ProcessDebugPort
图片描述
如果DebugPort存在返回 true

图片描述
图片描述
CloseHandle->NtClose 如果存在debuginfo与debugPort抛出异常 0xC0000008L被调试器接管

图片描述

我这边追流程 好像还是DuplicateHandle...->ObDuplicateObject 调用了NtClose
图片描述

图片描述

图片描述

0x1E ProcessDebugObjectHandle
图片描述
DbgkOpenProcessDebugPort
图片描述
如果DebugPort未存在 返回 STATUS_PORT_NOT_SET 端口未设置

图片描述

这个没看懂和上面有区别吗


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2024-3-2 16:54 被tian_chen编辑 ,原因:
收藏
免费 8
支持
分享
最新回复 (1)
雪    币: 2937
活跃值: (30841)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2024-3-2 23:23
2
游客
登录 | 注册 方可回帖
返回
//