<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
LyScript實現繞過反偵錯保護的範例詳解
2022-08-12 18:02:32
LyScript外掛中內建的方法可實現各類反偵錯以及遮蔽特定API函數的功能,這類功能在應對病毒等惡意程式時非常有效,例如當程式呼叫特定API函數時我們可以將其攔截,從而實現保護系統在偵錯時不被破壞的目的。
LyScript專案地址: https://github.com/lyshark/LyScript
繞過反偵錯機制: 最常用的反偵錯機制就是用IsDebuggerPresent該標誌檢查PEB+2位置處的內容,如果為1則表示正在被偵錯,我們執行指令碼直接將其設定為0即可繞過反偵錯機制。
也就是程序環境塊中+2的位置,此處是一個位元組標誌,反偵錯的機制是,程式呼叫IsDebuggerPresent檢查此處的標誌,如果為1則說明程式正在被偵錯,為0則說明沒有被偵錯,只需要在執行之前將其設定為0即可繞過反偵錯。
from LyScript32 import MyDebug
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 通過PEB找到偵錯標誌位
peb = dbg.get_peb_address(dbg.get_process_id())
print("偵錯標誌地址: 0x{:x}".format(peb+2))
flag = dbg.read_memory_byte(peb+2)
print("偵錯標誌位: {}".format(flag))
# 將偵錯標誌設定為0即可過掉反偵錯
nop_debug = dbg.write_memory_byte(peb+2,0)
print("反偵錯繞過狀態: {}".format(nop_debug))
dbg.close()
將程式載入偵錯程式,並執行如上指令碼,然後執行程式,你會發現反偵錯被繞過了。
其次我們還可以動態的在函數開頭位置寫入sub eax,eax,ret指令,這樣當程式要呼叫特定函數時,會直接返回退出,從而達到遮蔽函數執行等目的。
from LyScript32 import MyDebug
# 得到所需要的機器碼
def set_assemble_opcde(dbg,address):
# 得到第一條長度
opcode_size = dbg.assemble_code_size("sub eax,eax")
# 寫出組合指令
dbg.assemble_at(address, "sub eax,eax")
dbg.assemble_at(address + opcode_size , "ret")
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 得到函數所在記憶體地址
process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
process32next = dbg.get_module_from_function("kernel32","Process32NextW")
messagebox = dbg.get_module_from_function("user32.dll","MessageBoxA")
messageboxw = dbg.get_module_from_function("user32.dll", "MessageBoxW")
print(hex(messagebox)," ",hex(messageboxw))
# 替換函數位置為sub eax,eax ret
set_assemble_opcde(dbg, messagebox)
set_assemble_opcde(dbg,messageboxw)
dbg.close()
如上,我們在彈窗位置寫出返回指令,然後執行程式,你會發現,彈窗不會出現了,這也就把這個函數給遮蔽了。
同理,繞過程序列舉,依然可以使用此方式實現。
繞過程序列舉: 病毒會列舉所有執行的程序以確認是否有偵錯程式在執行,我們可以在特定的函數開頭處寫入SUB EAX,EAX RET指令讓其無法呼叫列舉函數從而失效。
from LyScript32 import MyDebug
# 得到所需要的機器碼
def set_assemble_opcde(dbg,address):
# 得到第一條長度
opcode_size = dbg.assemble_code_size("sub eax,eax")
# 寫出組合指令
dbg.assemble_at(address, "sub eax,eax")
dbg.assemble_at(address + opcode_size , "ret")
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 得到函數所在記憶體地址
process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
process32next = dbg.get_module_from_function("kernel32","Process32NextW")
print("process32first = 0x{:x} | process32next = 0x{:x}".format(process32first,process32next))
# 替換函數位置為sub eax,eax ret
set_assemble_opcde(dbg, process32first)
set_assemble_opcde(dbg, process32next)
dbg.close()到此這篇關於LyScript實現繞過反偵錯保護的範例詳解的文章就介紹到這了,更多相關LyScript繞過反偵錯保護內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援指令碼之
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45