網站首頁 編程語言 正文
LyScript插件中內置的方法可實現各類反調試以及屏蔽特定API函數的功能,這類功能在應對病毒等惡意程序時非常有效,例如當程序調用特定API函數時我們可以將其攔截,從而實現保護系統在調試時不被破壞的目的。
LyScript項目地址:?https://github.com/lyshark/LyScript
繞過反調試機制:?最常用的反調試機制就是用IsDebuggerPresent該標志檢查PEB+2位置處的內容,如果為1則表示正在被調試,我們運行腳本直接將其設置為0即可繞過反調試機制。
也就是進程環境塊中+2的位置,此處是一個字節標志,反調試的機制是,程序調用IsDebuggerPresent檢查此處的標志,如果為1則說明程序正在被調試,為0則說明沒有被調試,只需要在運行之前將其設置為0即可繞過反調試。
from LyScript32 import MyDebug
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 通過PEB找到調試標志位
peb = dbg.get_peb_address(dbg.get_process_id())
print("調試標志地址: 0x{:x}".format(peb+2))
flag = dbg.read_memory_byte(peb+2)
print("調試標志位: {}".format(flag))
# 將調試標志設置為0即可過掉反調試
nop_debug = dbg.write_memory_byte(peb+2,0)
print("反調試繞過狀態: {}".format(nop_debug))
dbg.close()
將程序載入調試器,并運行如上腳本,然后運行程序,你會發現反調試被繞過了。
其次我們還可以動態的在函數開頭位置寫入sub eax,eax,ret指令,這樣當程序要調用特定函數時,會直接返回退出,從而達到屏蔽函數執行等目的。
from LyScript32 import MyDebug
# 得到所需要的機器碼
def set_assemble_opcde(dbg,address):
# 得到第一條長度
opcode_size = dbg.assemble_code_size("sub eax,eax")
# 寫出匯編指令
dbg.assemble_at(address, "sub eax,eax")
dbg.assemble_at(address + opcode_size , "ret")
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 得到函數所在內存地址
process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
process32next = dbg.get_module_from_function("kernel32","Process32NextW")
messagebox = dbg.get_module_from_function("user32.dll","MessageBoxA")
messageboxw = dbg.get_module_from_function("user32.dll", "MessageBoxW")
print(hex(messagebox)," ",hex(messageboxw))
# 替換函數位置為sub eax,eax ret
set_assemble_opcde(dbg, messagebox)
set_assemble_opcde(dbg,messageboxw)
dbg.close()
如上,我們在彈窗位置寫出返回指令,然后運行程序,你會發現,彈窗不會出現了,這也就把這個函數給屏蔽了。
同理,繞過進程枚舉,依然可以使用此方式實現。
繞過進程枚舉:?病毒會枚舉所有運行的進程以確認是否有調試器在運行,我們可以在特定的函數開頭處寫入SUB EAX,EAX RET指令讓其無法調用枚舉函數從而失效。
from LyScript32 import MyDebug
# 得到所需要的機器碼
def set_assemble_opcde(dbg,address):
# 得到第一條長度
opcode_size = dbg.assemble_code_size("sub eax,eax")
# 寫出匯編指令
dbg.assemble_at(address, "sub eax,eax")
dbg.assemble_at(address + opcode_size , "ret")
if __name__ == "__main__":
# 初始化
dbg = MyDebug()
dbg.connect()
# 得到函數所在內存地址
process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
process32next = dbg.get_module_from_function("kernel32","Process32NextW")
print("process32first = 0x{:x} | process32next = 0x{:x}".format(process32first,process32next))
# 替換函數位置為sub eax,eax ret
set_assemble_opcde(dbg, process32first)
set_assemble_opcde(dbg, process32next)
dbg.close()原文鏈接:https://www.cnblogs.com/LyShark/p/16578927.html
相關推薦
- 2022-05-21 C#中Thread(線程)和Task(任務)實例詳解_C#教程
- 2022-10-06 Python?PaddlePaddle機器學習之求解線性模型_python
- 2023-06-03 python中with的具體用法_python
- 2022-05-01 使用SQL實現車流量的計算的示例代碼_MsSql
- 2023-05-23 Python實現指定數組下標值正序與倒序排序算法功能舉例_python
- 2022-11-07 Docker搭建MySQ主從復制原理_docker
- 2022-07-10 ENOENT讀取文件報錯(fs)
- 2023-05-20 openGauss數據庫共享存儲特性概述_數據庫其它
- 最近更新
-
- window11 系統安裝 yarn
- 超詳細win安裝深度學習環境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權
- redisson分布式鎖中waittime的設
- maven:解決release錯誤:Artif
- restTemplate使用總結
- Spring Security之安全異常處理
- MybatisPlus優雅實現加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務發現-Nac
- Spring Security之基于HttpR
- Redis 底層數據結構-簡單動態字符串(SD
- arthas操作spring被代理目標對象命令
- Spring中的單例模式應用詳解
- 聊聊消息隊列,發送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速