51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

聊一聊对一个 C# 商业程序的反反调试

作者:一线码农聊技术
开发 前端
经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

一:背景

1.讲故事

前段时间有位朋友在微信上找到我,说他对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了,问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道,其实这是 商业程序 的反调试机制捣鬼的,为了保护程序隐私,一般都不希望他人对自己做逆向分析,那能不能破解它的反调试呢?当然是可以的,难易程度就看对方的诚意了。

经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

二:WinDbg 分析

1. 案例演示

为了方便讲述,先上一个例子。

internal class Program
    {
        [DllImport("kernelbase.dll", SetLastError = true)]
        static extern bool IsDebuggerPresent();

        static void Main(string[] args)
        {
            Console.ReadLine();

            var isAttached = IsDebuggerPresent();

            if (isAttached)
            {
                Console.WriteLine("/(ㄒoㄒ)/~~ 小心,我被附加了 调试器!");
            }
            else
            {
                Console.WriteLine("O(∩_∩)O 程序很安全!");
            }

            Console.ReadLine();
        }
    }
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.

在没有 WinDbg 的情况下是这样输出的。

图片图片

有 WinDbg 的情况下是这样输出的。

图片图片

有朋友肯定要怼了,C# 中有一个 Debugger.IsAttached 属性为什么不用,我试了下,这玩意很差劲,检测不到 WinDbg 这种非托管调试器的附加。

2. 简述 IsDebuggerPresent 方法

其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段,这个字段定义在 KernelBase.dll 中,那怎么验证呢? 可以用 !peb 查看进程环境块的地址,然后用 dt 观察即可。

0:001> !peb
PEB at 000000000035b000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         00007ff719030000
    NtGlobalFlag:             4000
    NtGlobalFlag2:            0
    Ldr                       00007ffb1259b4c0
    ...

0:001> dt ntdll!_PEB 000000000035b000
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''
   +0x003 BitField         : 0x4 ''
   +0x003 ImageUsesLargePages : 0y0
   +0x003 IsProtectedProcess : 0y0
   +0x003 IsImageDynamicallyRelocated : 0y1
   +0x003 SkipPatchingUser32Forwarders : 0y0
   ...
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.

从上面的 BeingDebugged : 0x1 可以看到,当前程序被附加了调试器。

3. 反反调试思路

找到 IsDebuggerPresent() 方法的读取来源,这问题就好办了,通常有两种做法。

1)修改 IsDebuggerPresent() 方法的反汇编代码

只要让 IsDebuggerPresent() 方法一直返回 false,那我们就可以成功破解反调试,首先用 x 命令找到 IsDebuggerPresent() 的汇编代码,输出如下:

0:007> x KernelBase!IsDebuggerPresent
00007ffb`0fe468a0 KERNELBASE!IsDebuggerPresent (IsDebuggerPresent)
0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3
00007ffb`0fe468b0 cc              int     3
00007ffb`0fe468b1 cc              int     3
00007ffb`0fe468b2 cc              int     3
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.

按照 stdcall 协定, eax 会作为方法的返回值,接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码,键入完汇编代码之后,按 Enter 即可,输出如下:

0:007> a 00007ffb`0fe468a0
00007ffb`0fe468a0 mov eax , 0
00007ffb`0fe468a5 ret 
00007ffb`0fe468a6 

0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 b800000000      mov     eax,0
00007ffb`0fe468a5 c3              ret
00007ffb`0fe468a6 0000            add     byte ptr [rax],al
00007ffb`0fe468a8 000f            add     byte ptr [rdi],cl
00007ffb`0fe468aa b640            mov     dh,40h
00007ffb`0fe468ac 02c3            add     al,bl
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.

图片图片

可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码,哈哈,接下来继续 go,截图如下:

图片图片

可以看到已成功的反反调试,看到程序很开心,我也挺开心的。

2)使用bp断点拦截

这种做法就是使用 bp + script 拦截,大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值,这也是可以的,当然也是最安全的。

首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。

0:004> uf KERNELBASE!IsDebuggerPresent
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

接下来在 00007ffb0fe468ad 处下一个断点,即位置 KERNELBASE!IsDebuggerPresent + 0xd ,然后使用寄存器修改命令 r 修改 eax 的值,再让程序 gc 即可,脚本代码如下:

0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"
0:004> g
  • 1.
  • 2.

图片图片

可以看到,此时的程序又是笑哈哈的。

三:总结

这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。

责任编辑:武晓燕 来源: 一线码农聊技术
C#商业程序
相关推荐
一个 C# 商业程序反反调试
经过和朋友的技术捣鼓之后,发现还好,对方只是用了KERNELBASE!IsDebuggerPresent做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上WinDbg说话。

2022-11-02 08:51:01

C# 前台线程如何阻塞程序退出
这篇文章起源于我的C内功修炼训练营里的一位朋友提的问题:后台线程的内部是如何运转的,犹记得CViaCLR这本书中Jeffery就聊到了他曾经给别人解决一个程序无法退出的bug,最后发现是有一个Backgrondfalse的线程导致的。

2024-12-26 10:05:58

C#前台线程
C# 中让人惶恐 Bitmap
Bitmap使用不当危害巨大,所以一定要谨记尽早释放的原则,如果真的不幸被吃了很多内存,也一定要明白那些未知的大内存段是不是被Bitmap所关联,从而尽早的找到真正的祸根。

2024-08-26 14:46:57

C#创建自定义特性
特性(Attribute)是用于在运行时传递程序中各种元素(比如类、方法、结构、枚举、组件等)的行为信息的声明性标签。您可以通过使用特性向程序添加声明性信息。

2021-03-29 00:02:10

C#Attribute元素
C# 弱引用底层是怎么玩
WeakReference的内部玩法有很多,更深入的理解还需要对gHandleTableMap进行深度挖掘,后面有机会再聊吧,有时候dump分析还是挺苦逼的,需要对相关领域底层知识有一个足够了解,否则谈何修复呢?

2024-06-28 12:47:29

C#弱引用底层
C++ 中 namespace
在C++中默认只有一个namespace,所以相同的变量会出现冲突,解决办法就是用namespace隔离。

2022-08-30 07:39:57

C++namespace隔离
GDB 调试程序几个实用命令
用惯了宇宙第一的VisualStudio再用其他的开发工具还是有一点不习惯,不习惯在于想用的命令或者面板找不到,总的来说还是各有千秋吧,今天我们来聊一下几个在调试中比较实用的命令。

2023-05-04 12:39:27

GDB命令程序
C 语言编程习惯
编程习惯的培养需要的是一个长期的过程,需要不断地总结,积累,并且我们需要从意识上认识其重要性,一个良好的编程习惯对于我们能力的提高也是有巨大的帮助的。下面是笔者在阅读《专业嵌入式软件开发》这本书时所看到的一些关于编程好习惯的总结,特此记录和分享一下、

2020-10-30 07:11:31

C 语言编程
枚举一个进程中所有线程
Win32的初始版本中,并没有包含它,直到Windows95之后,32位版本的ToolHelper程序库才被引入到Win32中。

2023-07-03 07:27:41

进程线程Win32
程序认知偏见
我的很多读者肯定会认为像我这种级别的人都是非常有思想、有决策力的大神。我会根据事情的真相,再三权衡,最后做出一个理性、正确的决定。

2020-12-09 16:55:57

程序员技术
C++bind函数使用
短短的一行代码,实际上考验了一个人对C++的掌握深度,好了话不多说,进入今天的介绍,c++bind绑定函数。

2020-10-23 07:00:00

C++函数
C# 异步任务延续三种底层玩法
虽然异步任务延续​有三种实现方法,但底层都是一个套路,即借助Task.mcontinuationObject​字段玩出的各种花样,当然他们也是有一些区别的,即对mcontinuationObject任务是否用单独的线程调度,产生了不同的意见分歧。

2025-01-10 08:15:22

C#异步底层
C# 线程本地存储TLS到底是什么
有朋友在后台留言让我说一下C的ThreadStatic线程本地存储是怎么玩的?这么说吧,C的ThreadStatic是假的,因为C完全是由CLR(C++)承载的,言外之意C的线程本地存储,用的就是用C++运行时提供的declspec(thread)或thread来虚构的一套玩法,这一篇我们就来简单聊一聊。

2024-01-02 13:26:39

TLSC#线程
.NET 高级调试内核模式堆泄露
在过往的dump分析中都是用户态程序的泄露,内核态模式堆的的泄露还是第一次分析,不是朋友提供的这次机会,真的就没缘分啦!在这次dump分析过程中,也让大家看到了windbg是多么的强大!

2023-12-14 11:35:32

.NET泄露模式
Skype兴衰
微软在Outlook和Windows上推广了Skype,甚至用必应生成式人工智能聊天机器人丰富了这款应用,但这些数据看起来仍然不太好。

2023-07-06 13:56:14

微软Skype
构建抽象
不同编程语言编写的应用,在它运行的状态下,会有不同的运行机制,有的是以二进制的方式运行的,有运行在编程语言的虚拟机之上。而构建所做的事情呢,就是将那些我们写给人类看的代码,转换为机器程序能看懂的代码。

2020-09-08 06:54:29

Java Gradle语言
TLS/SSL
聪明的小伙伴肯定会想到:只要能证明对方有私钥就行了!也就是说浏览器用证书(即公钥)加密一个数据,然后发送给对方;如果对方有私钥,那就能解密这个数据并返回给浏览器,那浏览器就知道对方身份了。

2023-09-22 17:36:37

分组密码
在1949年,Shannon的Themathematicaltheoryofcommunication[9]是现代密码学的理论基础,也标志着密码算法的重心向应用数学上的转移。

2021-01-28 22:31:33

分组密码算法
PON简史
之前有不少同学问EPON、GPON、10GPON、XGPON、NGPON2到底是什么关系。今天通过这篇文章,我详细给大家介绍一下。

2020-05-22 08:16:07

PONGPONXG-PON
一个大型软件系统该如何重构
在互联网行业,每当新员工入职一家新公司时,都要学习一套新的软件系统。如果该公司的代码非常规范,架构设计非常合理,那么新员工上手的速度会非常快。

2022-01-28 08:47:25

软件系统重构
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服