聊一聊对一个 C# 商业程序的反反调试

开发 前端
经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

一、背景

1.讲故事

前段时间有位朋友在微信上找到我,说他对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了,问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道,其实这是 商业程序 的反调试机制捣鬼的,为了保护程序隐私,一般都不希望他人对自己做逆向分析,那能不能破解它的反调试呢?当然是可以的,难易程度就看对方的诚意了。

经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

二、WinDbg 分析

1. 案例演示

为了方便讲述,先上一个例子。

internal class Program
{
[DllImport("kernelbase.dll", SetLastError = true)]
static extern bool IsDebuggerPresent();

static void Main(string[] args)
{
Console.ReadLine();

var isAttached = IsDebuggerPresent();

if (isAttached)
{
Console.WriteLine("/(ㄒoㄒ)/~~ 小心,我被附加了 调试器!");
}
else
{
Console.WriteLine("O(∩_∩)O 程序很安全!");
}

Console.ReadLine();
}
}

在没有 WinDbg 的情况下是这样输出的。

图片

有 WinDbg 的情况下是这样输出的。

图片

有朋友肯定要怼了,C# 中有一个 Debugger.IsAttached 属性为什么不用,我试了下,这玩意很差劲,检测不到 WinDbg 这种非托管调试器的附加。

2. 简述 IsDebuggerPresent 方法

其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段,这个字段定义在 KernelBase.dll 中,那怎么验证呢? 可以用 !peb 查看进程环境块的地址,然后用 dt 观察即可。

0:001> !peb
PEB at 000000000035b000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: Yes
ImageBaseAddress: 00007ff719030000
NtGlobalFlag: 4000
NtGlobalFlag2: 0
Ldr 00007ffb1259b4c0
...

0:001> dt ntdll!_PEB 000000000035b000
+0x000 InheritedAddressSpace : 0 ''
+0x001 ReadImageFileExecOptions : 0 ''
+0x002 BeingDebugged : 0x1 ''
+0x003 BitField : 0x4 ''
+0x003 ImageUsesLargePages : 0y0
+0x003 IsProtectedProcess : 0y0
+0x003 IsImageDynamicallyRelocated : 0y1
+0x003 SkipPatchingUser32Forwarders : 0y0
...

从上面的 BeingDebugged : 0x1 可以看到,当前程序被附加了调试器。

3. 反反调试思路

找到 IsDebuggerPresent() 方法的读取来源,这问题就好办了,通常有两种做法。

  • 修改 IsDebuggerPresent() 方法的反汇编代码。

只要让 IsDebuggerPresent() 方法一直返回 false,那我们就可以成功破解反调试,首先用 x 命令找到 IsDebuggerPresent() 的汇编代码,输出如下:

0:007> x KernelBase!IsDebuggerPresent
00007ffb`0fe468a0 KERNELBASE!IsDebuggerPresent (IsDebuggerPresent)
0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002 movzx eax,byte ptr [rax+2]
00007ffb`0fe468ad c3 ret
00007ffb`0fe468ae cc int 3
00007ffb`0fe468af cc int 3
00007ffb`0fe468b0 cc int 3
00007ffb`0fe468b1 cc int 3
00007ffb`0fe468b2 cc int 3

按照 stdcall 协定, eax 会作为方法的返回值,接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码,键入完汇编代码之后,按 Enter 即可,输出如下:

0:007> a 00007ffb`0fe468a0
00007ffb`0fe468a0 mov eax , 0
00007ffb`0fe468a5 ret
00007ffb`0fe468a6

0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 b800000000 mov eax,0
00007ffb`0fe468a5 c3 ret
00007ffb`0fe468a6 0000 add byte ptr [rax],al
00007ffb`0fe468a8 000f add byte ptr [rdi],cl
00007ffb`0fe468aa b640 mov dh,40h
00007ffb`0fe468ac 02c3 add al,bl
00007ffb`0fe468ae cc int 3
00007ffb`0fe468af cc int 3

图片

可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码,哈哈,接下来继续 go,截图如下:

图片

可以看到已成功的反反调试,看到程序很开心,我也挺开心的。

  • 使用bp断点拦截

这种做法就是使用 bp + script 拦截,大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值,这也是可以的,当然也是最安全的。

首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。

0:004> uf KERNELBASE!IsDebuggerPresent
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002 movzx eax,byte ptr [rax+2]
00007ffb`0fe468ad c3 ret

接下来在 00007ffb0fe468ad 处下一个断点,即位置 KERNELBASE!IsDebuggerPresent + 0xd ,然后使用寄存器修改命令 r 修改 eax 的值,再让程序 gc 即可,脚本代码如下:

0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"
0:004> g

图片

可以看到,此时的程序又是笑哈哈的。

三、总结

这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。

责任编辑:武晓燕 来源: 一线码农聊技术
相关推荐

2023-12-07 07:26:04

2024-08-26 14:46:57

2021-03-29 00:02:10

C#Attribute元素

2024-06-28 12:47:29

C#弱引用底层

2023-05-04 12:39:27

GDB命令程序

2022-08-30 07:39:57

C++namespace隔离

2023-07-03 07:27:41

进程线程Win32

2020-10-30 07:11:31

C 语言编程

2020-12-09 16:55:57

程序员技术

2020-10-23 07:00:00

C++函数

2024-01-02 13:26:39

TLSC#线程

2023-12-14 11:35:32

.NET泄露模式

2023-07-06 13:56:14

微软Skype

2020-09-08 06:54:29

Java Gradle语言

2022-01-28 08:47:25

软件系统重构

2023-09-22 17:36:37

2021-01-28 22:31:33

分组密码算法

2020-05-22 08:16:07

PONGPONXG-PON

2018-06-07 13:17:12

契约测试单元测试API测试

2022-06-27 07:50:16

链表节点测试
点赞
收藏

51CTO技术栈公众号