26种对付反调试的方法(18)

发布时间：2019-03-21 12:55 所属栏目：20 来源：luochicun

导读：当使用ss堆栈段寄存器进行操作时，调试器将跳过指令跟踪。如下图所示，调试器将立即移至xor edx，edx指令，同时执行上一条指令： __asm { pushss popss moveax,0xC000C1EE//Thislinewillbetracedoverbydebugger xor

当使用ss堆栈段寄存器进行操作时，调试器将跳过指令跟踪。如下图所示，调试器将立即移至xor edx，edx指令，同时执行上一条指令：

__asm 
{ 
    push ss 
    pop  ss 
    mov  eax, 0xC000C1EE // This line will be traced over by debugger 
    xor  edx, edx        // Debugger will step to this line 
}

总结

本文介绍了一系列对付反调试技术的技术，都是一些易于操作的方法，其实还有很多方法：

1.自调试过程；

2.使用FindWindow函数进行调试器检测；

3.时间计算方法；

4.NtQueryObject；

5. BlockInput；

6.NtSetDebugFilterState；

7.自修改代码；

最后想再次强调，即使是最好的对付反调试的方法也不能完全防止恶意软件的攻击，对付反调试技术的主要目标是尽可能的使那些的恶意软件的攻击变得困难。

【编辑推荐】

新的Google Chrome攻击可能会让Windows 10设备发生假死
Windows 10的新bug可导致任意文件被覆写
恶意软件反调试分析的对抗技术
适用于Windows，Linux和OS X的2018年优秀黑客工具
常见的几种Windows后门持久化方式

【责任编辑：武晓燕 TEL：（010）68476606】
点赞 0

（编辑：ASP站长网）