在“匯編,讓你更拉風”那片文章中我稍微提到了下fs:[0]這個玩意,這里再重復下,實際上fs:[0]這個地址保存著一個很重要的結構體,TEB ( Thread Evirment Block ) 線程塊,SEH異常處理,線程的一些相關信息都和這個結構體緊緊相關,而我要說的IsDebuggerPresent實際上也是從這個結構體中獲取信息來判斷當前線程所在進程是否處于被調試狀態,這實際上和TEB中的一個子結構PEB有關,這個api的效率很高,因為它的實現就像這樣:
mov eax, fs:[30h]
mov eax, [eax+0Ch] // 取fs段偏移0x30的值村放進eax,實際上偏移0x30就是PEB子結構的開始地址
mov eax, [eax+10h] // 取到標示進程是否被調試的標志變量
只是幾句簡單的語句,所以你可以在你要反調試的程序中每個一段時間調用一次這個函數來檢測進程是否被調試了,但是調用這個api實在是不安全,因為很可能這個函數已經被hook了,你的調用結果將完全被hook這個函數的人控制了,然后我們可以進一步想,我們可以不通過調用這個函數來獲取進程是否被調試的信息嗎?當然可以,上面那段匯編代碼實際上就能做到,但是別以為這樣就安全了,調試者一樣有辦法,既然你都可以直接通過匯編代碼來做,調試者當然也就可以,他可能會寫出下面這樣的代碼來設置這個標志標量:
mov eax, fs:[30h]
mov eax, [eax+0Ch]
mov [eax+10h], 0x0
這樣即使你不調用他hook掉的IsDebuggerPresent,他一樣可以讓你獲取到的東西無效。那么想想吧,我們的程序在開發期被調試器調試是很正常的,真正發布出去了如果被調試了,說明就有問題了,所以我們可以在發布版中這么做:那么調試者們上面的手段都會失效,我們可以每隔一段時間就判斷一下那個標志變量的狀態,如果是被調試,就直接退出程序。當然這樣也不是就安全了,調試者可能會根據代碼的特征找到你相關的代碼,然后直接修改,為了防止調試者找到你的代碼,你可以使用VMProtect技術,作用就是把你的代碼弄的很亂,讓人根本看不明白,這樣一來,調試者可能得花上很長一段時間來跟蹤你的代碼了。
完畢!其實在IsDebuggerPresent這種ring3級別的函數上花多心思效果是不大的,真正要做到反調試得考慮在驅動層做手腳,這個就以后再說了。
PS:早上起來就寫了這篇日志,早飯都沒吃,大家不頂簡直對不起我的肚子哈!