C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)

Posted mb62d3c286f15ed

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)相关的知识,希望对你有一定的参考价值。

终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。

但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ?

C++


刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以后有机会一定要发一个怎么发表情的教程)

参考代码:

#include "stdafx.h"

#include <iostream>
#include <tchar.h>
#include <Windows.h>
#include <stdio.h>
#include <exception>


#pragma
#pragma

#pragma
#pragma

#pragma
   
/*
异常记录结构体:
    typedef struct _EXCEPTION_POINTERS 
      PEXCEPTION_RECORD ExceptionRecord;  // 指向 EXCEPTION_RECORD 结构的指针(异常描述结构体)
      PCONTEXT          ContextRecord;        // 指向 CONTEXT 结构的指针(寄存器结构体)
     EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;
*/
// 顶级异常筛选函数,不能把功能代码放在这个函数内(会死循环),非调试模式下回运行这里的代码
LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept)  
  
    // 跳过下面两行代码:
    // 8900    MOV DWORD PTR DS:[EAX], EAX  
    // FFE0    JMP EAX  
    pExcept->ContextRecord->Eip += 4;  
    
    // 忽略异常,否则程序会退出
    return EXCEPTION_CONTINUE_EXECUTION;  
  
   
#pragma

int _tmain(int argc, _TCHAR* argv[])

    // 接管顶级异常处理程序
    SetUnhandledExceptionFilter(ExceptionFilter);  
   
    // 防止在 OD 中点击运行后直接终止,留一个反应时间
    MessageBox(NULL,L"如果程序正在调试,则即将触发断点...",L"MessageBoxW",NULL);

    // 主动制造 "非法地址" 异常,防止程序被调试   mov dword ptr [eax], eax
    __asm   
        xor eax, eax                
        mov dword ptr [eax], eax
        jmp eax                     
     
    
    // 验证程序是否正常执行
    MessageBox(NULL,L"只有没有被调试时才能看到我",L"MessageBoxW",NULL);

    getchar();
    return 0;

大致功能如下:

正常运行程序,弹出 “只有没有被调试时才能看到我” 对话框(也就说明程序执行到了这里)

C++


使用 VS 调试程序,报出异常,调试中断

C++


使用 原版OD 打开程序,点击运行后程序会卡在我们构造的异常里无法继续执行

C++



以上是关于C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)的主要内容,如果未能解决你的问题,请参考以下文章

OD插件编写

OD插件编写

看雪.TSRC 2017CTF秋季赛第三题

一种基于TLS的高级反调试技术

反调试手法之CreateProcess反调试

Frida反调试