反调试及反反调试

// 01_使用PEB.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>

bool CheckDebug()
{
    bool bDebuged = false;
    _asm push eax;
    _asm mov eax, fs:[0x30];// eax保存PEB首地址
    _asm mov al,byte ptr ds:[eax + 2];//BeginDebug字段的值
    _asm mov bDebuged, al;
    _asm pop eax
    return bDebuged;
}


void Test(char chFlag)

{

    __try
    {
        int a = chFlag;
        int b = 1/a;
    }
    //定义异常处理模块  
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
        exit(0);
    }
}


LONG WINAPI ueh(EXCEPTION_POINTERS* pExcept) {
    exit(0);
    return EXCEPTION_CONTINUE_SEARCH;
}




int _tmain(int argc, _TCHAR* argv[])
{
    SetUnhandledExceptionFilter(ueh);
    bool bDebug = CheckDebug();

    int IsDebugger = IsDebuggerPresent()-1;

    if (bDebug )
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }


    /*
    
    表示还有很多代码
    
    */


    Test(IsDebugger);

    
    /*

    表示还有很多代码

    */

    MessageBox(NULL, L"现在很安全", L"恭喜", 0);


    return 0;
}

======================

// 02_IsDebugPresent.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    bool bDebug = IsDebuggerPresent();//它使用的方式，和上一个是一样的
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

======================

// 03_检测PEB的Global.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
bool CheckDebug()
{
    DWORD dwSign = 0;
    _asm push eax;
    _asm mov eax, fs:[0x30];
    _asm mov eax, [eax + 0x68];
    _asm mov dwSign, eax;
    _asm pop eax
    return dwSign==0x70;
}



int _tmain(int argc, _TCHAR* argv[])
{

    bool bDebug = CheckDebug();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

====================

// 04_NtQueryInformationProcess.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>

#pragma comment(lib,"ntdll.lib")

//NTSTATUS NTAPI NtMyQueryInformationProcess(
//  IN HANDLE ProcessHandle,
//  IN PROCESSINFOCLASS ProcessInformationClass,
//  OUT PVOID ProcessInformation,
//  IN ULONG ProcessInformationLength,
//  OUT PULONG ReturnLength OPTIONAL
//  )
//{
//  _asm{
//
//
//      mov         eax, 16h
//      xor         ecx, ecx
//      lea         edx, [esp + 4]
//      call        dword ptr fs : [0C0h]
//      add         esp, 4
//      ret         14h
//      mov         eax, 17h
//      mov         ecx, 1Eh
//      lea         edx, [esp + 4]
//      call        dword ptr fs : [0C0h]
//      add         esp, 4
//      ret         14h
//  }
//}



bool CheckDebug()
{
    int nDebugPort = 0;
    NtQueryInformationProcess(
        GetCurrentProcess(),
        ProcessDebugPort,
        &nDebugPort,
        sizeof(nDebugPort),
        NULL);
    return nDebugPort==-1;
}

int _tmain(int argc, _TCHAR* argv[])
{

    bool bDebug = CheckDebug();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

====================

// 05_NtQueryInformationProcess.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")
bool CheckDebug()
{
    HANDLE nDebugPort = 0;
    NtQueryInformationProcess(
        GetCurrentProcess(),
        (PROCESSINFOCLASS)0x1E,
        &nDebugPort,
        sizeof(nDebugPort),
        NULL);
    return nDebugPort == NULL?false:true;
}

int _tmain(int argc, _TCHAR* argv[])
{

    bool bDebug = CheckDebug();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

=================

// 06_QueryInformationProcess.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")
bool CheckDebug()
{
    DWORD nDebugFlag = 0;
    NtQueryInformationProcess(
        GetCurrentProcess(),
        (PROCESSINFOCLASS)0x1F,//DebugFlag
        &nDebugFlag,
        sizeof(nDebugFlag),
        NULL);
    return nDebugFlag == 0 ? true : false;
}

int _tmain(int argc, _TCHAR* argv[])
{

    bool bDebug = CheckDebug();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

=====================

// 07_查看父进程ID.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")

// DWORD GetProcessID(TCHAR * ProcessName)
// {
//  HANDLE hHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
// }


bool NQIP_CheckParentProcess()
{
    struct PROCESS_BASIC_INFORMATION {
        ULONG ExitStatus;        // 进程返回码
        PPEB  PebBaseAddress;        // PEB地址
        ULONG AffinityMask;          // CPU亲和性掩码
        LONG  BasePriority;          // 基本优先级
        ULONG UniqueProcessId;       // 本进程PID
        ULONG InheritedFromUniqueProcessId; // 父进程PID
    }stcProcInfo;
    NtQueryInformationProcess(
        GetCurrentProcess(), 
        ProcessBasicInformation, //查看进程的基本信息，其中能够查看到父进程的PID
        &stcProcInfo,
        sizeof(stcProcInfo), NULL
        );
    DWORD ExplorerPID = 0;
    DWORD CurrentPID = stcProcInfo.InheritedFromUniqueProcessId;

    GetWindowThreadProcessId(FindWindow(L"Progman", NULL), &ExplorerPID);
    printf("%d", ExplorerPID);
    return ExplorerPID == CurrentPID ? false : true;
}


int _tmain(int argc, _TCHAR* argv[])
{
    bool bDebug = NQIP_CheckParentProcess();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
    return 0;
}

=====================

// 08_检测操作系统当前是否被调试.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")

bool CheckDebug()
{
    struct _SYSTEM_KERNEL_DEBUGGER_INFORMATION  {
        BOOLEAN DebuggerEanbled;
        BOOLEAN DebuggerNotPresent;
    }DebuggerInfo = { 0 };

    NtQuerySystemInformation(
        (SYSTEM_INFORMATION_CLASS)0x23,
        &DebuggerInfo,
        sizeof(DebuggerInfo),
        NULL);
    //能够检测当前操作系统是否处于调试模式，
    //处于调试模式，可能当前正在进行内核调试（Windbg);
    return DebuggerInfo.DebuggerEanbled;
}


int _tmain(int argc, _TCHAR* argv[])
{
    bool bDebug = CheckDebug();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

==================

// 09_检测调试对象.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <winternl.h>
#pragma comment(lib,"ntdll.lib")
bool NQO__NtQueryObject()
{
    typedef struct _OBJECT_TYPE_INFORMATION {
        UNICODE_STRING TypeName;
        ULONG TotalNumberOfHanders;
        ULONG TotalNumberOfObjects;
    }OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;
    
    typedef struct _OBJECT_ALL_INFORMATION {
        ULONG NumberOfObjectsTypes;
        OBJECT_TYPE_INFORMATION ObjectTypeInfo[1];
    }OBJECT_ALL_INFORMATION, *POBJECT_ALL_INFORMATION;
    
    // 1. 获取欲查询信息大小
    ULONG uSize = 0;
    NtQueryObject(NULL, 
        (OBJECT_INFORMATION_CLASS)0x03, 
        &uSize, 
        sizeof(uSize), 
        &uSize);

    // 2. 获取对象信息
    POBJECT_ALL_INFORMATION pObjectAllInfo = (POBJECT_ALL_INFORMATION)new BYTE[uSize + 200];
    NtQueryObject(NULL, 
        (OBJECT_INFORMATION_CLASS)0x03, 
        pObjectAllInfo, 
        uSize, 
        &uSize);
    
    // 3. 循环遍历并处理对象信息
    POBJECT_TYPE_INFORMATION pObjTypeInfo = pObjectAllInfo->ObjectTypeInfo;
    for (int i = 0; 
        i < pObjectAllInfo->NumberOfObjectsTypes;
        i++)
    {
        // 3.1 查看此对象的类型是否为DebugObject，还需要判断对象的数量，大于0则说明有调试对象
        if (!wcscmp(L"DebugObject", pObjTypeInfo->TypeName.Buffer))
            return true;
        
        // 3.2 获取对象名占用空间的大小（考虑到了结构体对齐问题）
        ULONG uNameLength = pObjTypeInfo->TypeName.Length;
        ULONG uDataLength = uNameLength - uNameLength%sizeof(ULONG) + sizeof(ULONG);
        // 3.3 指向下一个对象信息
        pObjTypeInfo = (POBJECT_TYPE_INFORMATION)pObjTypeInfo->TypeName.Buffer;
        pObjTypeInfo = (POBJECT_TYPE_INFORMATION)((PBYTE)pObjTypeInfo + uDataLength);
    }
    delete[] pObjectAllInfo;
    return false;
}

int _tmain(int argc, _TCHAR* argv[])
{
    bool bDebug = NQO__NtQueryObject();
    if (bDebug)
    {
        MessageBox(NULL, L"正在被调试", L"注意", 0);
    }
    else
    {
        MessageBox(NULL, L"现在很安全", L"恭喜", 0);
    }
    return 0;
}

=========================

// 10_攻击调试器.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
typedef enum THREAD_INFO_CLASS{
    ThreadHideFromDebugger = 17
};
typedef NTSTATUS(NTAPI *ZW_SET_INFORMATION_THREAD)(
    IN  HANDLE          ThreadHandle,
    IN  THREAD_INFO_CLASS   ThreadInformaitonClass,
    IN  PVOID           ThreadInformation,
    IN  ULONG           ThreadInformationLength);

void ZSIT_DetachDebug()
{
    ZW_SET_INFORMATION_THREAD Func;
    Func = (ZW_SET_INFORMATION_THREAD)GetProcAddress(
        LoadLibrary(L"ntdll.dll"), "ZwSetInformationThread");
    //攻击调试器，将本进程和调试器分离。
    Func(GetCurrentThread(), ThreadHideFromDebugger, NULL, NULL);
}


int _tmain(int argc, _TCHAR* argv[])
{
    ZSIT_DetachDebug();
    MessageBox(0, 0, 0, 0);
    return 0;
}

=========================

// 11_指令混淆.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
void _declspec(naked) fun()
{
    
    _asm push 0;    //  6A 00 
    _asm jmp  hehe; //  EB 02
    _asm __emit 0xE8;// E8
    _asm __emit 0x12;// 12
hehe:
    _asm push 0;     // 6A 00
    _asm jmp  haha;//   EB 02
    _asm __emit 0x0f;// 0F
    _asm __emit 0x15;// 15
haha:
    _asm push 0;
    _asm jmp  heihei;
    _asm __emit 0x56;
    _asm __emit 0x78;
heihei:
    _asm push 0;
    _asm call MessageBoxA;
    _asm ret;
}

int _tmain(int argc, _TCHAR* argv[])
{
    fun();
    return 0;
}