ddos防火墙_高透膜防摔吗_3天试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > ddos防火墙_高透膜防摔吗_3天试用

ddos防火墙_高透膜防摔吗_3天试用

小墨安全管家 2021-05-05 10:01 高防CDN 89 ℃
DDoS防御
在反调试系列的最终一部分中,我们将讨论基于进程和线程块的反调试。进程和线程必须由操作系统维护和跟踪。在用户空间中,有关进程和线程的信息以称为进程信息块(PIB)、进程环境块(PEB)和线程信息块(TIB)的结构保存在内存中。这些结构保存与特定进程或线程的操作相关的数据,这些数据由我们前面讨论过的很多基于API的反调试想法读取。当调试器或逆向工程试图获得对反调试相关API的攻击性和钩子调用时,我们能够挪移到低于API的位置,并直截了当访咨询进程和线程信息来检测附加的调试器。经过绕过操作系统提供的查询进程和线程信息的想法,我们能够有效地绕过反调试工作中使用的一些基于API的挂接技术。例如,在那个反调试系列的第二部分中,我演示了怎么调用IsDebuggerPresent()来检测是否设置了调试器present进程标志。原型:BOOL WINAPI IsDebuggerPresent(void);if(IsDebuggerPresent()){//检测到调试器-在此处执行某些操作}其他{//未检测到调试器-然后}假如我们分析那个API调用实际做了啥,我们会注意到它从PEB读取一具标志,它指示调试器的存在。与直截了当调用API不同,CC防御,能够模拟IsDebuggerPresent()函数的作用并直截了当查询PEB。分析PEB结构中的数据的第一步是在内存中定位PEB结构。要做到这一点,我们能够使用很多不同的想法,有点想法比其他想法更直截了当和低级。最容易掌握的想法是使用ProcessBasicInformation的第二个参数调用函数NtQueryInformationProcess。将进程指针(PIB)返回给进程的指针。一旦我们访咨询了那个PIB结构,我们就查看PebBaseAddress成员来确定PEB的基址。最终,我们查看正在调试的布尔成员,它返回的结果与调用函数IsDebuggerPresent()时返回的结果相同。下面的代码演示了我们的示例:hmod=装载库(L"Ntdll.dll");_NtQueryInformationProcess=GetProcAddress(hmod,"NtQueryInformationProcess");hnd=OpenProcess(进程查询信息,FALSE,GetCurrentProcessId());状态=(\u NtQueryInformationProcess)(hnd、ProcessBasicInformation和pPIB、sizeof(进程差不多信息)和BytesWrited);假如(状态==0){假如(pPIB.pebbase地址->正在调试==1){MessageBox(NULL,L"调试器使用PEB检测到!IsDebugged",L"Debugged Detected",MB\u OK);}其他{MessageBox(空,L"未检测到调试器",L"未检测到调试器",DDoS防御,MB\u OK);}}我们能够用不同的想法来检测TIB的存在。让我们从直接的角度动身,转而研究一种新颖有味的想法,来检测特意为在WindowsVista下运行而设计的调试器。在Vista中,当进程在没有调试器的事情下启动时,主线程环境块包含一具指向引用系统DLL(如kernel32.DLL)的Unicode字符串的指针。假如进程是在调试器下启动的,则系统DLL名称将替换为Unicode字符串"HookSwitchHookEnabledEvent"。所以,假如我们懂我们试图爱护的进程是在windowsvista环境中运行的,我们能够使用此技术来确定进程是否是从调试环境中启动的。要使用此技术,反调试功能应首先检查它是否在Windows Vista操作系统上运行。在确认操作系统版本后,该技术应定位TIB。TIB能够作为段寄存器FS的偏移量访咨询,如下代码所示:无效*getTib(){无效*pTib;__asm公司{mov EAX,FS:[18h]//FS:[18h]是TIB的位置mov[pTib],EAX公司}返回pTib;}一旦找到TIB的位置,将读取从TIB开始的偏移量0xBFC,并检查指针。假如那个值是0x00000C00,这么我们读取偏移量0xC00处的字符串,并将该值与Unicode字符串"HookSwitchHookEnabledEvent"举行比较。我们检查指针以确保在指向的地址中有一具字符串,并作为此想法准确性的第二级保证。假如我们经过了那个最终的测试,我们能够确定在WindowsVista下运行的进程是从调试器中启动的。wchar_t*hookStr=_TEXT("hookSwitchHookEnableEvent");strPtr=TIB+0xBFC;增量=(int)(*strPtr)-(int)strPtr;假如(增量==0x04){假如(wcscmp(*strPtr,hookStr)==0){消息框(空,DDoS防御,L"经过Vista TEB系统DLL PTR检测到的调试器",L"检测到的调试器",MB\u OK);}其他{MessageBox(空,L"没有检测到调试器",L"没有调试器",MB\u OK);}}其他{MessageBox(空,L"没有检测到调试器",L"没有调试器",MB\u OK);}在本系列的四个部分中,我们讨论了反调试想法的类、一些差不多的基于API的反调试技术、一些略微先进的API技术,最终讨论了两种直截了当访咨询进程和线程信息以检测调试器存在的想法。我决定发表一篇论文,概述近35种不同的反调试想法的细节,而不是以博客的形式然后本系列文章。我将在2009年3月11日开始并于2009年3月13日结束的源波士顿2009安全会议上展示论文(以及相关幻灯片)。本文和演示文稿面向的是开辟人员和软件工程师,他们大概不了解某些反调试代码的汇编转储,但能够理解我目前向您介绍的内容。2009年2月28日,DDoS防御,源波士顿的预注册费用结束。于是趁你还能够的时候打折买票吧!这将是一具特别棒的会议,有业界最好的信息安全主题和演示者。另外,作为一具演说者,我得到了一张半价票,我能够自个儿挑选。到目前为止我还没有把它送出去。假如有人想要半价票到SOURCE Boston同时能够参加,请告诉我。我会尽快把折扣代码给你。我期待着在会议上见到你们,请上来打个招呼!Veracode安全解决方案静态分析工具渗透测试工具静态代码分析漏洞扫描Web应用程序测试软件测试工具源代码安全分析器软件代码安全应用测试工具源代码分析代码评审工具Veracode安全威胁指南防止SQL注入跨站点足本漏洞CSRF攻击LDAP注入挪移代码安全

ddos防火墙_高透膜防摔吗_3天试用


DDoS防御

当前位置:主页 > 高防CDN > ddos防火墙_高透膜防摔吗_3天试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119