反跟踪技术
1、调试器分类:用户模式调试器(OD、VC++调试器、DRW2000)和内核模式调试器(SoftICE)
2、反调试技术:
a、窗口方法检测:利用WIN API函数查找调试器窗口类名或者标题窗口,找到则表示监视程序运行。几种调试器类名:flyOD或者OllyDBG(检测flyODBUG)、SICE(检测softICE)、DRW(检测DRW2000)
b、检查父进程:遍历操作系统所有进程,检查出当前进程是否为父进程。win32中一般的父进程:Explorer.exe、Cmd.exe、Service.exe
3、断点检测技术:
a、检测软件断点:调试器调试时常用int3断点,,检测时只需要检测函数首地址的机器码是否为0xCC(INT3)
b、屏蔽硬件断点:在调试器中能用的硬件断点只能存在Dr0-Dr3寄存器中,因此可以不间断地占用全部4个硬件断点组织软件的断点调试。
c、中间调用API:将API函数的一部分代码放到执行代码中,在执行这段代码后跳转到API函数剩余的代码,这样设置的断点就会失效。
4、花指令反静态分析:加入无用指令扰乱反汇编软件使其无法找到指令的其实位置(操作码)。去花方式:找到花指令后NOP掉。
5、CRC校验:散列函数的一种,检测文件完整性。将字串转换成CRC32值后存储,运行时重新转换后与之前的对比检测是否完整
6、程序自生成技术:利用前面的程序生成将要执行的代码,反汇编指令并不是要执行的代码,而且可以隐蔽关键指令。
软件调试
调试需求
1、调试功能函数:软件的加密、解密函数、网络软件的数据包发送函数、接收函数、窗口函数、算法函数、文件处理函数。
2、条件判断查找:修改跳转去向。
3、解密资源文件:存在用户信息、监测数据、资源等
4、截获网络数据包
5、还原数据结构:数组、链表、二叉树、结构体、类
6、调试寻址方式:函数入口地址、数据结构的访问地址、某个对象的this指针地址。
调试过程
1、查看软件是否加壳(保护壳、压缩壳、混合壳)、查看软件开发语言、查看软件本身提示信息。
2、反汇编可执行程序,找突破口。
3、反响追踪,找到代码位置。
4、记录调试过程,编写文档。
调试方法
1、设置断点:代码定位断点、数据断点、调试断点。
2、字符串追踪
3、API函数追踪。常见的有:GetWindowText、CreateFile、LoadLibrary、CreateProcess
4、代码屏蔽:屏蔽后推断这段代码实现了什么功能。测试某段代码和某个函数功能。
5、内存修改:测试内存中某段数据的实际意义。