开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何绕过IsDebuggerPresent与OllyDbg？

绕过 IsDebuggerPresent 函数和使用 OllyDbg 进行调试是逆向工程和反调试技术中的常见话题。IsDebuggerPresent 是一个 Windows API 函数，用于检测当前进程是否在调试器中运行。为了绕过这个检测，可以使用多种技术。以下是一些常见的方法：

1. 修改程序代码

最直接的方法是修改程序代码，使其跳过 IsDebuggerPresent 的调用或修改其返回值。这可以通过静态分析和二进制修改工具（如 OllyDbg）来实现。

示例：

在 OllyDbg 中，你可以找到 IsDebuggerPresent 的调用并修改其返回值。例如，将返回值修改为 0（表示未被调试）。

在 OllyDbg 中加载目标程序。
查找 IsDebuggerPresent 的调用。
修改返回值，使其总是返回 0。

2. 使用 API Hooking

你可以使用 API Hooking 技术来拦截 IsDebuggerPresent 的调用，并返回你希望的值。

示例：

以下是一个使用 Microsoft Detours 库的示例代码，演示如何拦截 IsDebuggerPresent 调用：

#include <windows.h>
#include <detours.h>

BOOL (WINAPI *Real_IsDebuggerPresent)(VOID) = IsDebuggerPresent;

BOOL WINAPI My_IsDebuggerPresent(VOID) {
    return FALSE; // 总是返回未被调试
}

int main() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    DetourAttach(&(PVOID&)Real_IsDebuggerPresent, My_IsDebuggerPresent);
    DetourTransactionCommit();

    // 你的程序代码
    if (IsDebuggerPresent()) {
        printf("Debugger detected!\n");
    } else {
        printf("No debugger detected.\n");
    }

    return 0;
}

3. 修改 PEB 结构

IsDebuggerPresent 函数通过检查进程环境块（PEB）中的 BeingDebugged 字段来确定进程是否在调试器中运行。你可以直接修改这个字段来绕过检测。

示例：

以下是一个修改 PEB 结构的示例代码：

#include <windows.h>

void DisableDebuggerDetection() {
    __asm {
        mov eax, fs:[30h] // 获取 PEB 地址
        mov byte ptr [eax+2], 0 // 将 BeingDebugged 字段设置为 0
    }
}

int main() {
    DisableDebuggerDetection();

    if (IsDebuggerPresent()) {
        printf("Debugger detected!\n");
    } else {
        printf("No debugger detected.\n");
    }

    return 0;
}

4. 使用反调试工具

有一些专门的反调试工具可以帮助你绕过 IsDebuggerPresent 和其他反调试技术。例如，ScyllaHide 是一个常用的反调试工具，可以帮助你绕过多种反调试检测。

5. 使用调试器插件

一些调试器（如 OllyDbg 和 x64dbg）有插件可以自动绕过常见的反调试技术。你可以搜索并安装这些插件，以简化调试过程。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何绕过IsDebuggerPresent的反调试

在某爱论坛上看到有个师傅写了个Crackme 关于如何绕过IsDebuggerPresent的反调试的,闲来无事复现调试一下先上原文链接:https://www.52pojie.cn/thread-1432590...explorer.exe,不是则退出,似乎也可以作为一种简单的反调试手段,之前没怎么了解过反调试,最多听海哥说过可以检查句柄表,今天就学习一下,先看看windows的反调试API，0环反调试等以后知识储备够了再学习 IsDebuggerPresent...https://docs.microsoft.com/en-us/windows/win32/api/debugapi/nf-debugapi-isdebuggerpresent 确定调用过程是否正在由用户模式调试器调试...看到使用了IsDebuggerPresent来反调试 IDA Pro x64反调试进入ida后,按G,并输入刚刚反汇编开始的地址 ? 跳转后 ? 选择startaddress ?...这里很明确了,就是这个在反调试 IDA pro 反反调试处理可以直接在函数头部就直接ret,让他不走IsDebuggerPresent 这里要用到IDA Pro的KeyPatch功能：选中函数的头部

2.2K2 0

对伪装docx文件病毒的逆向分析

2.1 病毒样本的反调试功能背景：ollydbg动态逆向分析工具附加病毒文件进程，病毒文件就直接退出了，所以猜测该病毒样本具体反调试功能。...病毒样本的反调试功能函数：IsDebuggerPresent() 过掉反调试功能：通过API Hook(可以用微软Detours库)方式将反调试功能函数给Hook掉，让其反调试功能失效，这样我们的ollydbg...IsDebuggerPresent()函数详解 ? 2.2 每次只能启动一个病毒样本实例通过创建互斥体CreateMutexA()方式进行实现功能 ? CreateMutex()函数详解 ?...通过对病毒逆向分析，可以了解到调用IsDebuggerPresent()函数可以实现反调试检测功能。 ? end

1.5K3 1

详解反调试技术

1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。...CheckRemoteDebuggerPresent同IsDebuggerPresent几乎一致。...这个属性总与ForceFlags属性大致相同，但通常情况下Flags与值2进行比较。...2.3检测NTGlobalFlag 由于调试器中启动进程与正常模式下启动进程有些不同，所以它们创建内存堆的方式也不同。系统使用PEB结构偏移量0x68处的一个未公开位置，来决定如何创建堆结构。...四.调试器漏洞与所有软件一样，调试器也存在漏洞，有时恶意代码编写者为了防止被调试，会攻击这些漏洞。这里我们展示几种OllyDbg调试器处理PE格式文件时的常见漏洞。

2.1K4 0

谁在调试我的代码？

进程环境块BeingDebugged检测通过读取进程环境块PEB中，是否设置BeingDebugged标志（其实这个标志IsDebuggerPresent跟这个函数内部执行效果是一样的），这个PEB(...这个字段在程序正常运行的情况下值默认为0，在被调试器调试的时候(如ollydbg动态调试)，这个字段为0x70(注意：ollydbg附加状态下是没改变的)。...IsDebuggerPresent 检测通过直接利用系统 IsDebuggerPresent函数，进行判断当前程序是否处于调试状态。...Ollydbg的断点机制就是利用这个机制，当INT3 被执行到时, 如果程序未被调试, 将会异常处理器程序继续执行。

6433 1

ROOT检测与绕过

我个人认为ROOT的检测与绕过是一种基于Pattern的对抗，检测方根据ROOT后手机的一些特征Pattern来检测ROOT，而绕过方则是根据检测方的各种检测方式来设计各种绕过方法。...本文主要总结一下平时遇到过的ROOT检测方式，以及绕过的一些思路。... Objection集成了Root bypass功能，只需输入 android root disable 即可绕过许多app的root检测，但是看了一下这部分的源码，objection只是绕过了Java...参考frida 如何hook 多进程我的绕过脚本开源在这：FridaAntiRootDetection 其他旁门左道重打包通过给app植入Frida-gadget或者xposed框架后重打包就能在无...编译系统通过编译系统，植入frida或者修改主要的目标系统源码，就能在无ROOT的情况下，达到与ROOT相同的效果。

4.1K1 1

在射击游戏中防止玩家作弊

---- 在射击游戏中防止玩家作弊前言本篇继续阅读学习《有趣的二进制：软件安全与逆向分析》，本章是在射击游戏中防止玩家作弊，学习内存转储和如何保护软件不被破解一、内存转储借用一个小游戏进行学习内存转储的知识...的地方），就可以轻易破解 2、通过代码混淆来防止分析如何防止代码被分析呢？...有一种方法被称为“混淆” 例子：调用 IsDebuggerPresent 的部分，其机器语言代码为FF 15 00 20 40 00 85 C0 74 17（截止到 jz 指令） 00401000...main proc near 00401000 FF 15 00 20 40 00 call ds:__imp__IsDebuggerPresent@0 00401006 85 C0...d命令解包手动解包：用调试器和反汇编器跟踪可执行文件解压缩的逻辑，并将位于内存中的解压缩后的可执行数据导出到文件关键是“找到解压缩程序结束的瞬间（位置）” 将打包器添加的用于解压缩的那部分代码在 OllyDbg

7192 0

如何绕过Easy DeadCheat

我们将要编辑的文件称为，pakchunk0-WindowsNoEditor.pak并托管与作弊目的相关的主要配置文件。查找SSL并将内容擦除为空字节。...steam.live.bhvrdbd.com:++MBgDH5WGvL9Bcn5Be30cRcL0f5O+NyoXuWtQdX1aI=;EXrEe/XXp1o4/nVmcqCaG/BSgVR3OzhVUG8/X4kRCCU=" 无论如何...这使我们能够与游戏日志进行实时交互，而不必轮询任何文本文件并意外地滤除不相关的旧信息。利用非常基本的正则表达式，我们可以确定杀手（即使他在大厅里改变了角色，而原始脚本无法做到！）...所需的JSON主体如下（与上述顺序相同）： { "data": { "consecutiveMatch": 1, "emblemQualities": [

17.9K45 0

如何绕过XSS防护

本文列出了一系列XSS攻击，可用于绕过某些XSS防御filter。...此XSS可以绕过许多内容过滤器，但仅在主机使用US-ASCII编码传输或您自己设置编码时才起作用。这对于web应用程序防火墙跨站点脚本规避比服务器端筛选器规避更有用。...> IMG Embedded commands: 当插入此内容的网页（如网页板）位于密码保护之后，并且密码保护与同一域上的其他命令一起工作时，此操作有效。...当空间也是一个问题时（少两个字符会有很长的路要走），这真的很方便，而且可以轻松地绕过类似regex的“（ht | f）tp（s）？“//”。您也可以将“/”改为“\\”。...与下一个不同，这在Opera中不起作用，因为Opera认为这是旧的HTTP基本身份验证仿冒攻击，而不是。这只是一个格式错误的URL。

3.9K0 0

syscall的检测与绕过

,0C5h syscall ret NtCreateThreadEx endp end 通过procmon进行监控此时直接通过我们的主程序进入ring0 syscall的检测与绕过...当然也可以检测syscall指令，但是这个指令可以同int 2e中断门进0环的方式绕过，也可以加一个int 2e的规则。...syscall.exe" | findstr "syscall" syscall也可以不直接写写死在文件种，比如先用垃圾指令写死在文件中，然后在运行的时候对这些垃圾指令进行修改重新为syscall，达到静态绕过的效果

1.1K2 0

Waf功能、分类与绕过

1. waf简介 WAF是Web应用防火墙（Web Application Firewall）的简称，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断...[20201114210534.png] 3、编码绕过,把SQL语句编码便可以绕过waf [20201114210943.png] 4、修改请求方式绕过 [20201114212238.png] 利用waf...的默认规则绕过，如默认只针对GET拦截，不对post拦截，那我们就可以用POST方式传输绕过waf 5、复合参数绕过例如一个请求是这样的 GET /pen/news.php?...异或绕过 lucy' Xor '1'='1' # 利用WAF本身的功能绕过,把""替换为空 union+sel*ect+1,2,3,4.......组合法：编码与注释 1、替换法+URL编码 2、注释+替换法 3、内联注释+替换法把and为&&，urlencode后为%26%26 如：%20%26%26%20-1=-1 7、分块传输绕过

2.6K0 0

干货 | SSRF的防御与绕过

http://www.baidu.com@10.10.10.10与http://10.10.10.10请求是相同的该请求得到的内容都是10.10.10.10的内容，此绕过同样在URL跳转绕过中适用。...一般情况下利用URL解析导致SSRF过滤被绕过基本上都是因为后端通过不正确的正则表达式对URL进行了解析。...》中介绍了SSRF攻击的一个新的角度———利用不同编程语言对URL的处理标准来绕过SSRF过滤，从而实施攻击。...image-20210222151203604 可以得知，NodeJS url、Perl URI、Go net/url、PHP parser_url以及Ruby addressable解析函数与cURL...它会把如下的域名解析到特定的地址，其实和dns解析绕过一个道理。

3.1K5 0

如何防止CDN防护被绕过

当发现目标站点存在CDN防护的时候，我们会尝试通过查找站点的真实IP，从而绕过CDN防护。...假设，攻击者知道SLB的真实IP地址，就可以直接访问SLB的ip地址，从而轻易绕过CDN+WAF的安全防护。如何防止CDN被绕过呢？...如果攻击者有了真实IP地址，修改本地hosts文件，强行将域名与IP解析，从而本地访问请求是无需经过DNS解析，还是可以绕过CDN防护。这个策略，本质上是一个减缓措施，增加了寻找真实IP的难度。

1.9K5 0

如何用HERCULES绕过杀软

HERCULES是一个由Go语言开发的可以绕过防病毒软件的可定制的有效载荷生成器，只需简单的设置，就可以生成用于Metasploit的免杀payload，经测试，可完美绕过当前主流防病毒软件查杀检测。...AV Evasion Score是确定有效载荷反病毒绕过能力有效性的一个比例尺（1/10），1代表通过AV软件的可能性很低。

1.1K6 0

如何绕过 Android 8.0 startService 限制

如何绕过 Android 8.0 startService 限制应用在后台运行时，会消耗一部分有限的设备资源，例如 RAM。...下面以此异常为线索，一步一步来看源码中是如何限制的。...和方案 4 需要系统侧配合，适用于系统或预装应用，对绝大多数的第三方应用来说不可行方案 5 可行，但极不推荐这种固步自封的方式方案 6 可行，但不符合谷歌推进此限制策略的意愿，违背提高用户体验的初衷如何绕过...别忘了标题，最终想要实现的是绕过 Android 8.0 startService 的限制，即不修改为前台服务，调用 startService 方法，仍旧可以启动属于后台应用的后台服务，怎么实现呢？...通过上面的方案 6 ：「启动服务前，先将服务所在应用从后台切换到前台」便可实现，如何将应用从后台切换到前台呢？

2.1K1 0

如何绕过堡垒机远程登录

那么，我们就可以用另一种方式来描述这个问题：目标服务器远程端口受到ACL限制，但其他端口没有限制，那么，最简单的解决方式就可以通过端口转发来绕过。...---- 1、使用netsh命令进行端口转发 Windows自带的netshnetsh实现端口转发，监听12345端口，转发到本地3389端口，可绕过访问策略限制。...4、修改Windows远程桌面端口通过修改Windows默认远程桌面端口，从而绕过ACL策略访问限制。

3K3 0

LyScript 实现Hook隐藏调试器

LyScript 插件集成的内置API函数可灵活的实现绕过各类反调试保护机制，前段时间发布的那一篇文章并没有详细讲解各类反调试机制的绕过措施，本次将补充这方面的知识点，运用LyScript实现绕过大多数通用调试机制...该函数用于检测自身是否处于调试状态，其C系列代码如下所示，绕过此种方式很简单，只需要在函数头部写出ret指令即可。...(dbg) print("补丁状态: {}".format(ref)) dbg.close()当程序运行后会向IsDebuggerPresent函数写出返回，从而实现绕过调试的目的。...图片Patch_FindWindowFindWindow函数功能是取窗体句柄，有AW与Ex系列，使用同上方法替代即可。...图片Patch_EnumWindows枚举窗体的补丁与上方代码一致，此处就不再分析了。如下案例，实现了在枚举窗体过程中实现弹窗，并不影响窗体的枚举。

4571 0

WAF 绕过的捷径与方法

www.qiaoyue.net 在企业架构中，安全体系同剥洋葱一般，由外及内是由一层层的安全产品和规范构成，越处于外层承重越大，WAF 属七层防护的第一道墙，随着互联网技术发展，业务对外提供服务的方式逐渐收拢，Web 接口与应用垄断流量...对于此类前置串联架构的 ByPass 测试需找寻 WAF 与中间件、后端业务间的耦合性缺漏，比如： 1、在使用了 SSL 套接字的会话中，协商加密算法属请求方可控，WAF 和后端业务在算法支持上可能存在差异的一个切入点...便可以绕过 WAF 直接对后端系统进行攻击； 3、WAF 与中间件的耦合缺漏在后续的中间件层面做详细讲解，此处不做赘述。...当然以上 Bypass 的路径并非通用的，很大情况与不同中间件对 HTTP 的理解和运用有关，详细中间件系统和版本测试情况可参见表格： https://drive.google.com/file/d/0B5Tqp73kQStQU1diV1Y0dzd1QU0...WAF 策略；在 bash 语法中，可以使用与系统文件相同数量的 "?"

2K3 0

LyScript 实现绕过反调试保护

插件地址：https://github.com/lyshark/LyScript 绕过反调试机制: 最常用的反调试机制就是用IsDebuggerPresent该标志检查PEB+2位置处的内容，如果为1则表示正在被调试...，我们运行脚本直接将其设置为0即可绕过反调试机制。...也就是进程环境块中+2的位置，此处是一个字节标志，反调试的机制是，程序调用IsDebuggerPresent检查此处的标志，如果为1则说明程序正在被调试，为0则说明没有被调试，只需要在运行之前将其设置为...0即可绕过反调试。...同理，绕过进程枚举，依然可以使用此方式实现。

1921 0

PHP代码层防护与绕过

Bypass思路：利用数据库特性或过滤函数逻辑缺陷绕过。 0x02 关键字过滤 1、使用strpos过滤关键字 PHP过滤代码如下: <?...大小写绕过：id=1 AND 1=1 UNION SELECT 1，2，3 FROM ADMIN 2、使用stripos，进行关键字过滤　与strpos相比，stripos() - 查找字符串在另一字符串中第一次出现的位置...> Bypass思路：通过换行 \n可绕过，url编码为%0a id=1 union%23%0aseleCT 1,2,3,4 from users 修复方案：　　preg_match("/(?...> 如果正面怼正则，实在想不到绕过的方式。。...0x05 结束本文简单演示了几种防护代码和绕过场景，在攻与防的道路上，不只是掌握一些技巧，是与代码的对抗，更是人与人的对抗。

1.3K2 0

反调试技术

= NULL; LPBYTE pTEB = NULL; LPBYTE pPEB = NULL; BOOL bIsDebugging = FALSE; // IsDebuggerPresent...() bIsDebugging = IsDebuggerPresent(); printf("IsDebuggerPresent() = %d\n", bIsDebugging);...return 0; } （5）破解之法对PROCESSINFOCLASS的值进行操作直接 HOOK API 修改返回值利用 OD 插件 strong OD 中 KernelMode 可以绕过...", NULL) || // OllyDbg FindWindow(L"TIdaWindow", NULL) || // IDA...(int argc, TCHAR* argv[]) { DynAD_RDTSC(); return 0; } 破解之法：直接用RUN命令越过相关代码将第二个RDTSC值修改为与第一个相同

1K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭