聊一聊对一个 C# 商业程序的反反调试

一个,c#,商业,程序,反反,调试 · 浏览次数 : 3948

小编点评

**一:背景** * 一位朋友在微信上发现了我,说我对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了。 * 我问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道。 **二:WinDbg 分析** * 案例演示如何使用 WinDbg 分析 IsDebuggerPresent 方法的读取来源。 * 首先用 `x` 命令找到 IsDebuggerPresent() 的汇编代码。 * 修改 `00007ffb0fe468a0` 处的汇编代码,键入完汇编代码之后,按 Enter 即可,输出如下代码: ``` 0:007> a 00007ffb`0fe468a000007ffb`0fe468a0 mov eax , 000007ffb`0fe468a5 ret 00007ffb`0fe468a6 0:007> u 00007ffb`0fe468a0KERNELBASE!IsDebuggerPresent:00007ffb`0fe468a0 b800000000 mov eax,000007ffb`0fe468a5 c3 ret00007ffb`0fe468a6 0000 add byte ptr [rax],al00007ffb`0fe468a8 000f add byte ptr [rdi],cl00007ffb`0fe468aa b640 mov dh,40h00007ffb`0fe468ac 02c3 add al,bl00007ffb`0fe468ae cc int 300007ffb`0fe468af cc int 3 ``` **三: 总结** 该文章通过对 IsDebuggerPresent 方法的分析,探究了 WinDbg 代码的隐藏机制,并展示了如何使用汇编代码进行反向调试。通过该示例,我们可以学习到利用汇编代码进行反向调试的技术,并了解 WinDbg 中的内部机制。

正文

一:背景

1.讲故事

前段时间有位朋友在微信上找到我,说他对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了,问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道,其实这是 商业程序 的反调试机制捣鬼的,为了保护程序隐私,一般都不希望他人对自己做逆向分析,那能不能破解它的反调试呢?当然是可以的,难易程度就看对方的诚意了。

经过和朋友的技术捣鼓之后,发现还好,对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断,难度不大,这里就不细聊那个程序,我们做一个简单的案例来说下如何反反调试,老规矩,上 WinDbg 说话。

二:WinDbg 分析

1. 案例演示

为了方便讲述,先上一个例子。


    internal class Program
    {
        [DllImport("kernelbase.dll", SetLastError = true)]
        static extern bool IsDebuggerPresent();

        static void Main(string[] args)
        {
            Console.ReadLine();

            var isAttached = IsDebuggerPresent();

            if (isAttached)
            {
                Console.WriteLine("/(ㄒoㄒ)/~~ 小心,我被附加了 调试器!");
            }
            else
            {
                Console.WriteLine("O(∩_∩)O 程序很安全!");
            }

            Console.ReadLine();
        }
    }

在没有 WinDbg 的情况下是这样输出的。

有 WinDbg 的情况下是这样输出的。

有朋友肯定要怼了,C# 中有一个 Debugger.IsAttached 属性为什么不用,我试了下,这玩意很差劲,检测不到 WinDbg 这种非托管调试器的附加。

2. 简述 IsDebuggerPresent 方法

其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段,这个字段定义在 KernelBase.dll 中,那怎么验证呢? 可以用 !peb 查看进程环境块的地址,然后用 dt 观察即可。


0:001> !peb
PEB at 000000000035b000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         00007ff719030000
    NtGlobalFlag:             4000
    NtGlobalFlag2:            0
    Ldr                       00007ffb1259b4c0
    ...

0:001> dt ntdll!_PEB 000000000035b000
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''
   +0x003 BitField         : 0x4 ''
   +0x003 ImageUsesLargePages : 0y0
   +0x003 IsProtectedProcess : 0y0
   +0x003 IsImageDynamicallyRelocated : 0y1
   +0x003 SkipPatchingUser32Forwarders : 0y0
   ...

从上面的 BeingDebugged : 0x1 可以看到,当前程序被附加了调试器。

3. 反反调试思路

找到 IsDebuggerPresent() 方法的读取来源,这问题就好办了,通常有两种做法。

  1. 修改 IsDebuggerPresent() 方法的反汇编代码

只要让 IsDebuggerPresent() 方法一直返回 false,那我们就可以成功破解反调试,首先用 x 命令找到 IsDebuggerPresent() 的汇编代码,输出如下:


0:007> x KernelBase!IsDebuggerPresent
00007ffb`0fe468a0 KERNELBASE!IsDebuggerPresent (IsDebuggerPresent)
0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3
00007ffb`0fe468b0 cc              int     3
00007ffb`0fe468b1 cc              int     3
00007ffb`0fe468b2 cc              int     3

按照 stdcall 协定, eax 会作为方法的返回值,接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码,键入完汇编代码之后,按 Enter 即可,输出如下:


0:007> a 00007ffb`0fe468a0
00007ffb`0fe468a0 mov eax , 0
00007ffb`0fe468a5 ret 
00007ffb`0fe468a6 

0:007> u 00007ffb`0fe468a0
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 b800000000      mov     eax,0
00007ffb`0fe468a5 c3              ret
00007ffb`0fe468a6 0000            add     byte ptr [rax],al
00007ffb`0fe468a8 000f            add     byte ptr [rdi],cl
00007ffb`0fe468aa b640            mov     dh,40h
00007ffb`0fe468ac 02c3            add     al,bl
00007ffb`0fe468ae cc              int     3
00007ffb`0fe468af cc              int     3

可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码,哈哈,接下来继续 go,截图如下:

可以看到已成功的反反调试,看到程序很开心,我也挺开心的。

  1. 使用bp断点拦截

这种做法就是使用 bp + script 拦截,大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值,这也是可以的,当然也是最安全的。

首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。


0:004> uf KERNELBASE!IsDebuggerPresent
KERNELBASE!IsDebuggerPresent:
00007ffb`0fe468a0 65488b042560000000 mov   rax,qword ptr gs:[60h]
00007ffb`0fe468a9 0fb64002        movzx   eax,byte ptr [rax+2]
00007ffb`0fe468ad c3              ret

接下来在 00007ffb0fe468ad 处下一个断点,即位置 KERNELBASE!IsDebuggerPresent + 0xd ,然后使用寄存器修改命令 r 修改 eax 的值,再让程序 gc 即可,脚本代码如下:


0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"
0:004> g

可以看到,此时的程序又是笑哈哈的。

三: 总结

这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。

与聊一聊对一个 C# 商业程序的反反调试相似的内容:

聊一聊对一个 C# 商业程序的反反调试

一:背景 1.讲故事 前段时间有位朋友在微信上找到我,说他对一个商业的 C# 程序用 WinDbg 附加不上去,每次附加之后那个 C# 程序就自动退出了,问一下到底是怎么回事?是不是哪里搞错了,有经验的朋友应该知道,其实这是 商业程序 的反调试机制捣鬼的,为了保护程序隐私,一般都不希望他人对自己做逆

聊一聊如何截获 C# 程序产生的日志

一:背景 1.讲故事 前段时间分析了一个dump,一顿操作之后,我希望用外力来阻止程序内部对某一个com组件的调用,对,就是想借助外力实现,如果用 windbg 的话,可以说非常轻松,但现实情况比较复杂,客户机没有windbg,也不想加入任何的手工配置,希望全自动化来处理。 真的很无理哈。。。不过这

聊一聊被 .NET程序员 遗忘的 COM 组件

一:背景 1.讲故事 最近遇到了好几起和 COM 相关的Dump,由于对 COM 整体运作不是很了解,所以分析此类dump还是比较头疼的,比如下面这个经典的 COM 调用栈。 0:044> ~~[138c]s win32u!NtUserMessageCall+0x14: 00007ffc`5c891

聊一聊 dotnet-trace 调查 lock锁竞争

一:背景 1. 讲故事 最近在分析一个 linux 上的 dump,最后的诱因是大量的lock锁诱发的高频上下文切换,虽然问题告一段落,但我还想知道一点信息,所谓的高频到底有多高频?锁竞争到底是一个怎样的锁竞争? 如果了解这些信息对我们后续分析此类问题非常有帮助。 要想获取此类信息,看 dump 肯

SQLSERVER 临时表和表变量到底有什么区别?

一:背景 1. 讲故事 今天和大家聊一套面试中经常被问到的高频题,对,就是 临时表 和 表变量 这俩玩意,如果有朋友在面试中回答的不好,可以尝试看下这篇能不能帮你成功迈过。 二:到底有什么区别 1. 前置思考 不管是 临时表 还是 表变量 都带了 表 这个词,既然提到了 表 ,按推理自然会落到某一个

[转帖]国产数据库:五款国产数据,你知道哪款?

https://nic.hnuu.edu.cn/10043/2022/0027132.html 随着互联网的高速发展,目前数据的存储越来越多,传统的数据库逐渐不能满足人们对海量数据、高效查询的需求,国产的数据库如雨后春笋一样,一个个冒了出来来解决我们高速科技发展的数据库瓶颈,今天就给大家聊一聊目前最

【有奖调研】互联网新型社交,华为在找“元服务搭子”,快来集合!

“聊技术无话不谈,一起来吹吹元服务!畅聊你对元服务的想法,说不定,你就能撬动元服务的爆发增长!” 元服务(即原子化服务)是华为“轻量化”服务的新物种,可提供全新的服务和交互方式,让应用化繁为简,让服务触手可及!基于鸿蒙万能卡片,元服务可实现应用功能在桌面“永远打开”,实现智能推荐、服务直达! 而在元

【有奖调研】HarmonyOS新物种,鸿蒙流量新阵地——元服务邀你来答题!

“聊技术无话不谈,一起来吹吹元服务!畅聊你对元服务的想法,说不定,你就能撬动元服务的爆发增长!” 元服务(即原子化服务)是华为“轻量化”服务的新物种,可提供全新的服务和交互方式,让应用化繁为简,让服务触手可及!基于鸿蒙万能卡片,元服务可实现应用功能在桌面“永远打开”,实现智能推荐、服务直达! 而在元

别以为逃离大城市你就能舒适了,小城市可比你想象的内卷!

大家好,我是刘牌,今天聊一下最近的一些经历和感悟还有回到三线城市的感悟,希望对大家有一定的帮助! 欢迎关注我的公众号【刘牌】,一起探讨人生,职业规划,发展副业,一起成长! 一、我不适合躺,也躺不了 我毕业之后就到了成都,去了一家做基础软件的上市公司,不过我们部门还是属于业务部门,差不多干了两年,因为

SQLSERVER 事务日志的 LSN 到底是什么?

一:背景 1. 讲故事 大家都知道数据库应用程序 它天生需要围绕着数据文件打转,诸如包含数据的 .mdf,事务日志的 .ldf,很多时候深入了解这两类文件的合成原理,差不多对数据库就能理解一半了,关于 .mdf 的合成前面的文章已经有所介绍,这篇我们来聊一下 .ldf 的一些内部知识,比如 LSN。