在“匯編,讓你更拉風(fēng)”那片文章中我稍微提到了下fs:[0]這個玩意,這里再重復(fù)下��,實際上fs:[0]這個地址保存著一個很重要的結(jié)構(gòu)體����,TEB ( Thread Evirment Block ) 線程塊,SEH異常處理,線程的一些相關(guān)信息都和這個結(jié)構(gòu)體緊緊相關(guān)�����,而我要說的IsDebuggerPresent實際上也是從這個結(jié)構(gòu)體中獲取信息來判斷當前線程所在進程是否處于被調(diào)試狀態(tài)�����,這實際上和TEB中的一個子結(jié)構(gòu)PEB有關(guān)����,這個api的效率很高��,因為它的實現(xiàn)就像這樣:
mov eax, fs:[30h]
mov eax, [eax+0Ch] // 取fs段偏移0x30的值村放進eax����,實際上偏移0x30就是PEB子結(jié)構(gòu)的開始地址
mov eax, [eax+10h] // 取到標示進程是否被調(diào)試的標志變量
只是幾句簡單的語句���,所以你可以在你要反調(diào)試的程序中每個一段時間調(diào)用一次這個函數(shù)來檢測進程是否被調(diào)試了�,但是調(diào)用這個api實在是不安全��,因為很可能這個函數(shù)已經(jīng)被hook了�,你的調(diào)用結(jié)果將完全被hook這個函數(shù)的人控制了����,然后我們可以進一步想,我們可以不通過調(diào)用這個函數(shù)來獲取進程是否被調(diào)試的信息嗎���?當然可以,上面那段匯編代碼實際上就能做到�����,但是別以為這樣就安全了���,調(diào)試者一樣有辦法���,既然你都可以直接通過匯編代碼來做�,調(diào)試者當然也就可以,他可能會寫出下面這樣的代碼來設(shè)置這個標志標量:
mov eax, fs:[30h]
mov eax, [eax+0Ch]
mov [eax+10h], 0x0
這樣即使你不調(diào)用他hook掉的IsDebuggerPresent,他一樣可以讓你獲取到的東西無效。那么想想吧�����,我們的程序在開發(fā)期被調(diào)試器調(diào)試是很正常的�,真正發(fā)布出去了如果被調(diào)試了,說明就有問題了�����,所以我們可以在發(fā)布版中這么做:那么調(diào)試者們上面的手段都會失效���,我們可以每隔一段時間就判斷一下那個標志變量的狀態(tài)���,如果是被調(diào)試���,就直接退出程序�。當然這樣也不是就安全了��,調(diào)試者可能會根據(jù)代碼的特征找到你相關(guān)的代碼�����,然后直接修改,為了防止調(diào)試者找到你的代碼��,你可以使用VMProtect技術(shù)�����,作用就是把你的代碼弄的很亂����,讓人根本看不明白,這樣一來���,調(diào)試者可能得花上很長一段時間來跟蹤你的代碼了。
完畢�!其實在IsDebuggerPresent這種ring3級別的函數(shù)上花多心思效果是不大的���,真正要做到反調(diào)試得考慮在驅(qū)動層做手腳����,這個就以后再說了���。
PS:早上起來就寫了這篇日志��,早飯都沒吃,大家不頂簡直對不起我的肚子哈��!