在“匯編,讓你更拉風”那片文章中我稍微提到了下fs:[0]這個玩意���,這里再重復下,實際上fs:[0]這個地址保存著一個很重要的結(jié)構(gòu)體,TEB ( Thread Evirment Block ) 線程塊,SEH異常處理�����,線程的一些相關信息都和這個結(jié)構(gòu)體緊緊相關�����,而我要說的IsDebuggerPresent實際上也是從這個結(jié)構(gòu)體中獲取信息來判斷當前線程所在進程是否處于被調(diào)試狀態(tài)���,這實際上和TEB中的一個子結(jié)構(gòu)PEB有關�,這個api的效率很高���,因為它的實現(xiàn)就像這樣:
mov eax, fs:[30h]
mov eax, [eax+0Ch] // 取fs段偏移0x30的值村放進eax�,實際上偏移0x30就是PEB子結(jié)構(gòu)的開始地址
mov eax, [eax+10h] // 取到標示進程是否被調(diào)試的標志變量
只是幾句簡單的語句,所以你可以在你要反調(diào)試的程序中每個一段時間調(diào)用一次這個函數(shù)來檢測進程是否被調(diào)試了�����,但是調(diào)用這個api實在是不安全�,因為很可能這個函數(shù)已經(jīng)被hook了�����,你的調(diào)用結(jié)果將完全被hook這個函數(shù)的人控制了�,然后我們可以進一步想���,我們可以不通過調(diào)用這個函數(shù)來獲取進程是否被調(diào)試的信息嗎���?當然可以�����,上面那段匯編代碼實際上就能做到���,但是別以為這樣就安全了���,調(diào)試者一樣有辦法�����,既然你都可以直接通過匯編代碼來做�����,調(diào)試者當然也就可以,他可能會寫出下面這樣的代碼來設置這個標志標量:
mov eax, fs:[30h]
mov eax, [eax+0Ch]
mov [eax+10h], 0x0
這樣即使你不調(diào)用他hook掉的IsDebuggerPresent,他一樣可以讓你獲取到的東西無效�����。那么想想吧�����,我們的程序在開發(fā)期被調(diào)試器調(diào)試是很正常的,真正發(fā)布出去了如果被調(diào)試了�����,說明就有問題了���,所以我們可以在發(fā)布版中這么做:那么調(diào)試者們上面的手段都會失效���,我們可以每隔一段時間就判斷一下那個標志變量的狀態(tài)�,如果是被調(diào)試,就直接退出程序���。當然這樣也不是就安全了,調(diào)試者可能會根據(jù)代碼的特征找到你相關的代碼���,然后直接修改,為了防止調(diào)試者找到你的代碼���,你可以使用VMProtect技術,作用就是把你的代碼弄的很亂�����,讓人根本看不明白���,這樣一來���,調(diào)試者可能得花上很長一段時間來跟蹤你的代碼了�����。
完畢!其實在IsDebuggerPresent這種ring3級別的函數(shù)上花多心思效果是不大的,真正要做到反調(diào)試得考慮在驅(qū)動層做手腳�����,這個就以后再說了�。
PS:早上起來就寫了這篇日志,早飯都沒吃,大家不頂簡直對不起我的肚子哈�!