在“匯編,讓你更拉風(fēng)”那片文章中我稍微提到了下fs:[0]這個玩意,這里再重復(fù)下,實際上fs:[0]這個地址保存著一個很重要的結(jié)構(gòu)體,TEB ( Thread Evirment Block ) 線程塊,SEH異常處理,線程的一些相關(guān)信息都和這個結(jié)構(gòu)體緊緊相關(guān),而我要說的IsDebuggerPresent實際上也是從這個結(jié)構(gòu)體中獲取信息來判斷當(dāng)前線程所在進(jìn)程是否處于被調(diào)試狀態(tài),這實際上和TEB中的一個子結(jié)構(gòu)PEB有關(guān),這個api的效率很高,因為它的實現(xiàn)就像這樣:
mov eax, fs:[30h]
mov eax, [eax+0Ch] // 取fs段偏移0x30的值村放進(jìn)eax,實際上偏移0x30就是PEB子結(jié)構(gòu)的開始地址
mov eax, [eax+10h] // 取到標(biāo)示進(jìn)程是否被調(diào)試的標(biāo)志變量
只是幾句簡單的語句,所以你可以在你要反調(diào)試的程序中每個一段時間調(diào)用一次這個函數(shù)來檢測進(jìn)程是否被調(diào)試了,但是調(diào)用這個api實在是不安全,因為很可能這個函數(shù)已經(jīng)被hook了,你的調(diào)用結(jié)果將完全被hook這個函數(shù)的人控制了,然后我們可以進(jìn)一步想,我們可以不通過調(diào)用這個函數(shù)來獲取進(jìn)程是否被調(diào)試的信息嗎?當(dāng)然可以,上面那段匯編代碼實際上就能做到,但是別以為這樣就安全了,調(diào)試者一樣有辦法,既然你都可以直接通過匯編代碼來做,調(diào)試者當(dāng)然也就可以,他可能會寫出下面這樣的代碼來設(shè)置這個標(biāo)志標(biāo)量:
mov eax, fs:[30h]
mov eax, [eax+0Ch]
mov [eax+10h], 0x0
這樣即使你不調(diào)用他hook掉的IsDebuggerPresent,他一樣可以讓你獲取到的東西無效。那么想想吧,我們的程序在開發(fā)期被調(diào)試器調(diào)試是很正常的,真正發(fā)布出去了如果被調(diào)試了,說明就有問題了,所以我們可以在發(fā)布版中這么做:那么調(diào)試者們上面的手段都會失效,我們可以每隔一段時間就判斷一下那個標(biāo)志變量的狀態(tài),如果是被調(diào)試,就直接退出程序。當(dāng)然這樣也不是就安全了,調(diào)試者可能會根據(jù)代碼的特征找到你相關(guān)的代碼,然后直接修改,為了防止調(diào)試者找到你的代碼,你可以使用VMProtect技術(shù),作用就是把你的代碼弄的很亂,讓人根本看不明白,這樣一來,調(diào)試者可能得花上很長一段時間來跟蹤你的代碼了。
完畢!其實在IsDebuggerPresent這種ring3級別的函數(shù)上花多心思效果是不大的,真正要做到反調(diào)試得考慮在驅(qū)動層做手腳,這個就以后再說了。
PS:早上起來就寫了這篇日志,早飯都沒吃,大家不頂簡直對不起我的肚子哈!