CTF-RE 从0到N: windows反调试-获取Process Environment Block(PEB)信息来检测调试

A5rZ2024-11-13 16:09

在Windows操作系统中,Process Environment Block (PEB,进程环境块) 是一个包含特定进程信息的数据结构。它可以被用于反调试中

如何获取PEB指针?

在Windows操作系统中,获取PEB指针的常见方法主要有以下几种。:

1. 使用 NtCurrentPeb 获取 PEB

NtCurrentPeb 是Windows内核提供的一个函数,它返回当前进程的PEB指针。这个方法通常用于内核模式或通过非公开的API调用。在用户模式中,你可以使用 NtCurrentPeb 来获取PEB指针。

c 复制代码 
PEB* GetPEB()
{
    return NtCurrentPeb();  // 获取当前进程的PEB指针
}

NtCurrentPeb 是Windows的NT内核函数,通常不公开给用户模式程序直接调用,但可以通过动态加载 ntdll.dll 并使用 GetProcAddress 来调用。

2. 使用 NtQueryInformationProcess 获取 PEB

通过 NtQueryInformationProcess 函数,可以查询关于进程的信息,其中包括PEB的指针。这是通过NT内部函数来实现的。

c 复制代码 
#include <Windows.h>
#include <winternl.h>

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress;  // PEB的地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESS_INFORMATION_CLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE hProcess)
{
    NtQueryInformationProcess_t NtQueryInformationProcess =
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

:此方法需要依赖动态加载 ntdll.dll,并调用 NtQueryInformationProcess 函数。这个函数是Windows的NT内核接口,返回关于进程的详细信息。

3. 直接通过 NtQueryInformationProcess 查询 PEB 地址

也可以通过调用 NtQueryInformationProcess 来获取进程的PEB地址。你可以查询有关进程的基本信息,其中就包含PEB的地址。

c 复制代码 
#include <windows.h>
#include <winternl.h>

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation = 0
} PROCESSINFOCLASS;

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress; // PEB地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESSINFOCLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE processHandle)
{
    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NtQueryInformationProcess_t NtQueryInformationProcess = 
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    NTSTATUS status = NtQueryInformationProcess(processHandle, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

检测PEB的哪些位置来检测调试?

  1. 检查BeingDebugged标志:

    • PEB结构中的BeingDebugged字段直接指示进程是否正在被调试。该字段是一个布尔值,当进程在调试器下运行时,它的值为1,否则为0。
    c 复制代码 
    BOOL IsDebuggerPresent()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    return peb->BeingDebugged; // 返回BeingDebugged字段的值
}

  2. 检查NtGlobalFlag标志:

    • PEB中的NtGlobalFlag字段包含一些系统标志,其中某些标志在进程被调试器附加时会被设置。例如,FLG_HEAP_ENABLE_TAIL_CHECK, FLG_HEAP_ENABLE_FREE_CHECKFLG_HEAP_VALIDATE_PARAMETERS 会在调试器附加时被设置。
    c 复制代码 
    BOOL CheckNtGlobalFlag()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    DWORD NtGlobalFlag = peb->NtGlobalFlag;
    return (NtGlobalFlag & 0x70) != 0; // 检查特定的调试标志
}

  3. 检查Heap Flags和ForceFlags:

    • 调试器通常会修改PEB中的Heap Flags和ForceFlags,以启用更严格的堆检查。在PEB中的ProcessHeap字段指向进程的默认堆,这些标志位于该堆结构中。
    c 复制代码 
    BOOL CheckHeapFlags()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    PVOID heap = peb->ProcessHeap; // 获取默认堆地址
    DWORD heapFlags = *(DWORD*)((BYTE*)heap + 0x40);
    DWORD forceFlags = *(DWORD*)((BYTE*)heap + 0x44);
    return (heapFlags & 2) || (forceFlags != 0);
}

  4. 通过PEB中的StartupInfo检查调试器:

    • PEB中的StartupInfo结构包含有关进程启动的详细信息。可以通过检查StartupInfo中的特定字段来判断是否有调试器存在。
    c 复制代码 
    BOOL CheckStartupInfo()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    STARTUPINFO* startupInfo = &peb->ProcessParameters->StartupInfo;
    return startupInfo->dwFlags & STARTF_FORCEONFEEDBACK; // 检查特定标志
}

示例crackMe

以下是反调试代码的反编译示例

c 复制代码 
if ( *((_DWORD *)NtCurrentPeb()->ProcessHeap + 3) != 2 )
    a2[v6] = 34;
c 复制代码 
if ( (NtCurrentPeb()->NtGlobalFlag & 0x70) != 0 )
    v12 = v10 + v11;
c 复制代码 
if ( (unsigned __int8)*(_DWORD *)&NtCurrentPeb()->BeingDebugged )
{
    v10 = -83;
    v11 = 43;
}
相关推荐
诗雅颂19 天前
【js逆向学习】某多多anti_content逆向(补环境)
开发语言·javascript·webpack·逆向·拼多多·补环境·anti_content
CYRUS STUDIO23 天前
frida脚本,自动化寻址JNI方法
android·运维·自动化·逆向·移动安全·jni·frida
vortex51 个月前
安全见闻(9)——开阔眼界,不做井底之蛙
安全·网络安全·逆向·二进制·1024程序员节
九月镇灵将1 个月前
爬虫逆向学习(十一):实战分享反爬机制快速定位与破解
爬虫·python·学习·逆向·破解
sln_15501 个月前
DASCTF 2024金秋十月赛RE题wp
安全·逆向·ctf
CYRUS_STUDIO1 个月前
Android 下通过触发 SIGTRAP 信号实现反调试
android·linux·逆向
码农研究僧1 个月前
逆向 解密接口信息(附Demo)
javascript·爬虫·逆向·解密·decrypt
诗雅颂1 个月前
【js逆向学习】极志愿 javascript+python+rpc
javascript·python·学习·rpc·逆向
bbqz0071 个月前
逆向WeChat(七)
数据库·c++·微信·逆向·protobuf·sqlcipher·破解密钥·解码protobuf·wechatdb
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06RAG 实践- Ollama+RagFlow 部署本地知识库0704 - matlab m_map地学绘图工具基础函数 - 设置网格08Unity中PICO实现 隔空取物 和 接触抓取物体09Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO10【目标跟踪】相机运动补偿