8.9 RDTSC时钟检测反调试

rdtsc,时钟,检测,调试 · 浏览次数 : 12

小编点评

**RDTSC时钟检测方法** RDTSC是一种汇编指令,它返回系统重新启动以来的时钟数。可以使用 RDTSC 指令在程序运行期间检测程序是否被调试器附加。 **步骤:** 1. 获取当前时间戳 T1。 2. 执行一段代码,例如随机生成一个数字或显示消息框。 3. 获取当前时间戳 T2。 4. 计算时间戳之差,即 T2-T1。 5. 如果差值较小,则表明程序正在被调试器跟踪。 **代码:** ```c #include #include BOOL IsDebug() { int Debug = 0; __asm { rdtsc // 调用时钟 xor ecx, ecx // 清空 ecx add ecx, eax // 将 eax与ecx相加 rdtsc // 再次调用时钟 sub eax, ecx // 两次结果做差值 mov Debug, eax // 将差值存入 Debug 变量中 printf("打印差值: %d \\", Debug); } if (Debug >= 21) { return TRUE; } return FALSE; } int main() { if (IsDebug()) { printf("[-] 进程正在被调试 \\"); } system("pause"); return 0; } ``` **注释:** * `rdtsc` 指令返回 CPU 时钟计数器的值。 * `xor ecx, ecx` 清空 `ecx` 寄存器。 * `add ecx, eax` 将 `eax` 与 `ecx` 相加,并将结果存入 `Debug` 变量中。 * `rdtsc` 指令再次调用 `rdtsc` 指令,并将结果减去 `eax`,即得到时间戳之差。 * `mov Debug, eax` 将时间戳差值存入 `Debug` 变量中。 * `printf` 函数用于打印差值。 * `system("pause")` 阻塞程序,直到用户按下任意键退出。

正文

RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用rdtsc汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入EDX:EAX寄存器中,通过运行两次rdstc指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。

可以利用时钟检测技术来检测程序是否被调试器附加,其实现基本思路如下:

  • 获取当前时间戳 T1,即通过执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
  • 执行一段代码,例如随机生成一个数字或者MessageBox等,使得程序中断一些时间,防止被调试器单步跟踪。
  • 获取当前时间戳 T2,即通过再次执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
  • 计算时间戳之差,即 T2-T1,如果该差值较小,则表明程序正在被调试器跟踪。
#include <Windows.h>
#include <stdio.h>

BOOL IsDebug()
{
    int Debug = 0;
    __asm
    {
        rdtsc           // 调用时钟
        xor ecx, ecx
        add ecx, eax    // 将eax与ecx相加
        rdtsc           // 再次调用时钟
        sub eax, ecx    // 两次结果做差值
        mov Debug, eax
    }
    
    printf("打印差值: %d \n", Debug);
    if (Debug >= 21)
    {
        return TRUE;
    }

    return FALSE;
}

int main(int argc, char * argv[])
{
    if (IsDebug())
    {
        printf("[-] 进程正在被调试 \n");
    }

    system("pause");
    return 0;
}

与8.9 RDTSC时钟检测反调试相似的内容:

8.9 RDTSC时钟检测反调试

RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用`rdtsc`汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入`EDX:EAX`寄存器中,通过运行两次`rdstc`指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。

[转帖]BASH编写入门与实例

1 2 3 4 5 6 7 8 9 10 怎么写shell脚本: 。使用任何编辑工具编写shell脚本 例如vi -#!/bin/bash #在第一行放置头格式说明 -#!/usr/bin/gawk //awk需要添加的头格式,让系统知道用什么方式去解析此文件 -#!/usr/local/bin/p

定义一个函数,传入一个字典和一个元组,将字典的值(key不变)和元组的值交换,返回交换后的字典和元组

知识点: zip() 函数用于将可迭代的对象作为参数,将对象中对应的元素打包成一个个元组,然后返回由这些元组组成的列表 li=[3,4,5] t=(7,8,9) print(list(zip(li,t))) print(dict(zip(li,t))) 运行截图: 例1: def f(a,b): p

[转帖]Sql Server中通过sql命令获取cpu占用及产生锁的sql

https://www.jb51.net/article/266255.htm 这篇文章主要介绍了Sql Server中通过sql命令获取cpu占用及产生锁的sql,需要的朋友可以参考下 获取SQLSERVER中产生锁的SQL语句 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1

[转帖]Keepalived如何实现Nginx高可用

https://www.jb51.net/article/266305.htm Keepalived安装可参考Mysql+Keepalived实现双主热备 Master上的keepalived.conf 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

[转帖]echo 输出不换行-e \c

http://www.my889.com/i/1952 在shell中,echo输出会自动换行。有时候在循环中不希望echo输出换行。代码实现如下: 1 echo -e " \c" # -e 表示开启转义, \c表示不换行 脚本: 1 2 3 4 5 6 7 8 9 #!/bin/bash i=1

.NET 8 发布的最后一个预览版Preview 7, 下个月发布RC

微软在2023年8月9日 发布了.NET 8 Preview 7[1],这是它在11月14日 RTM 之前进入发布候选阶段之前的最后预览版。 该预览版也于也与 VS 2022 v17.7 版本一起发布。对于预览版7,System.Text.Json 和 codegen 在此版本中具有最大的变化。所有

漏洞评分高达9.8分!Text4Shell 会是下一个 Log4Shell吗?

在过去的几天里,Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动,该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布,此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试,该漏洞通

[转帖]Red Hat Enterprise Linux 8 和 9 中可用的 IO 调度程序

Red Hat 弃用了 Red Hat Enterprise Linux 7 中可用的 I/O 调度程序,并引入了四个新的 I/O 调度程序,如下所示, 运行以下命令检查 RHEL8 和 RHEL9 中可用的调度程序 # dmesg | grep -i scheduler [ 0.507104] i

正则表达式学习

第一个: 过滤guid相关的信息 egrep ^[a-zA-Z0-9]{8}-[a-zA-Z0-9]{4}-[a-zA-Z0-9]{4}-[a-zA-Z0-9]{4}-[a-zA-Z0-9]{12}$ 第二个: 反编译代码 time for i in `find . \( -path ./var -