CTF-RE 从0到N: windows反调试-获取Process Environment Block(PEB)信息来检测调试

A5rZ2024-11-13 16:09

在Windows操作系统中,Process Environment Block (PEB,进程环境块) 是一个包含特定进程信息的数据结构。它可以被用于反调试中

如何获取PEB指针?

在Windows操作系统中,获取PEB指针的常见方法主要有以下几种。:

1. 使用 NtCurrentPeb 获取 PEB

NtCurrentPeb 是Windows内核提供的一个函数,它返回当前进程的PEB指针。这个方法通常用于内核模式或通过非公开的API调用。在用户模式中,你可以使用 NtCurrentPeb 来获取PEB指针。

c 复制代码 
PEB* GetPEB()
{
    return NtCurrentPeb();  // 获取当前进程的PEB指针
}

NtCurrentPeb 是Windows的NT内核函数,通常不公开给用户模式程序直接调用,但可以通过动态加载 ntdll.dll 并使用 GetProcAddress 来调用。

2. 使用 NtQueryInformationProcess 获取 PEB

通过 NtQueryInformationProcess 函数,可以查询关于进程的信息,其中包括PEB的指针。这是通过NT内部函数来实现的。

c 复制代码 
#include <Windows.h>
#include <winternl.h>

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress;  // PEB的地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESS_INFORMATION_CLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE hProcess)
{
    NtQueryInformationProcess_t NtQueryInformationProcess =
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

:此方法需要依赖动态加载 ntdll.dll,并调用 NtQueryInformationProcess 函数。这个函数是Windows的NT内核接口,返回关于进程的详细信息。

3. 直接通过 NtQueryInformationProcess 查询 PEB 地址

也可以通过调用 NtQueryInformationProcess 来获取进程的PEB地址。你可以查询有关进程的基本信息,其中就包含PEB的地址。

c 复制代码 
#include <windows.h>
#include <winternl.h>

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation = 0
} PROCESSINFOCLASS;

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress; // PEB地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESSINFOCLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE processHandle)
{
    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NtQueryInformationProcess_t NtQueryInformationProcess = 
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    NTSTATUS status = NtQueryInformationProcess(processHandle, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

检测PEB的哪些位置来检测调试?

  1. 检查BeingDebugged标志:

    • PEB结构中的BeingDebugged字段直接指示进程是否正在被调试。该字段是一个布尔值,当进程在调试器下运行时,它的值为1,否则为0。
    c 复制代码 
    BOOL IsDebuggerPresent()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    return peb->BeingDebugged; // 返回BeingDebugged字段的值
}

  2. 检查NtGlobalFlag标志:

    • PEB中的NtGlobalFlag字段包含一些系统标志,其中某些标志在进程被调试器附加时会被设置。例如,FLG_HEAP_ENABLE_TAIL_CHECK, FLG_HEAP_ENABLE_FREE_CHECKFLG_HEAP_VALIDATE_PARAMETERS 会在调试器附加时被设置。
    c 复制代码 
    BOOL CheckNtGlobalFlag()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    DWORD NtGlobalFlag = peb->NtGlobalFlag;
    return (NtGlobalFlag & 0x70) != 0; // 检查特定的调试标志
}

  3. 检查Heap Flags和ForceFlags:

    • 调试器通常会修改PEB中的Heap Flags和ForceFlags,以启用更严格的堆检查。在PEB中的ProcessHeap字段指向进程的默认堆,这些标志位于该堆结构中。
    c 复制代码 
    BOOL CheckHeapFlags()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    PVOID heap = peb->ProcessHeap; // 获取默认堆地址
    DWORD heapFlags = *(DWORD*)((BYTE*)heap + 0x40);
    DWORD forceFlags = *(DWORD*)((BYTE*)heap + 0x44);
    return (heapFlags & 2) || (forceFlags != 0);
}

  4. 通过PEB中的StartupInfo检查调试器:

    • PEB中的StartupInfo结构包含有关进程启动的详细信息。可以通过检查StartupInfo中的特定字段来判断是否有调试器存在。
    c 复制代码 
    BOOL CheckStartupInfo()
{
    PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
    STARTUPINFO* startupInfo = &peb->ProcessParameters->StartupInfo;
    return startupInfo->dwFlags & STARTF_FORCEONFEEDBACK; // 检查特定标志
}

示例crackMe

以下是反调试代码的反编译示例

c 复制代码 
if ( *((_DWORD *)NtCurrentPeb()->ProcessHeap + 3) != 2 )
    a2[v6] = 34;
c 复制代码 
if ( (NtCurrentPeb()->NtGlobalFlag & 0x70) != 0 )
    v12 = v10 + v11;
c 复制代码 
if ( (unsigned __int8)*(_DWORD *)&NtCurrentPeb()->BeingDebugged )
{
    v10 = -83;
    v11 = 43;
}
相关推荐
CYRUS_STUDIO2 天前
使用 Unicorn 还原变异 CRC32 算法
android·算法·逆向
CYRUS_STUDIO2 天前
基于 Unicorn 实现一个轻量级的 ARM64 模拟器
android·逆向·汇编语言
为几何欢7 天前
【学习笔记】《逆向工程核心原理》03.abex‘crackme-2、函数的调用约定、视频讲座-Tut.ReverseMe1
笔记·学习·逆向·crackme·逆向工程·vb逆向
CYRUS_STUDIO8 天前
安卓逆向魔改版 Base64 算法还原
android·算法·逆向
CYRUS_STUDIO8 天前
安卓实现魔改版 Base64 算法
android·算法·逆向
ATFWUS11 天前
从开发和对抗的角度思考web网页中的接口逆向
开发·逆向·对抗·接口逆向·协议逆向
CYRUS_STUDIO14 天前
常用加解密算法介绍
算法·安全·逆向
CYRUS_STUDIO17 天前
unidbg 实现 JNI 与 Java 交互
android·安全·逆向
合天网安实验室22 天前
安全测试中的js逆向实战
安全·黑客·逆向
CYRUS STUDIO24 天前
使用 AndroidNativeEmu 调用 JNI 函数
android·汇编·arm开发·arm·逆向·jni
热门推荐
01本地部署DeepSeek教程(Mac版本)02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03DeepSeek各版本说明与优缺点分析04如何在WPS和Word/Excel中直接使用DeepSeek功能05DeepSeek RAGFlow构建本地知识库系统06本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程07LLM主流框架:Causal Decoder、Prefix Decoder和Encoder-Decoder08如何本地部署AI智能体平台,带你手搓一个AI Agent09DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具10计算机视觉 CV 八股分享 [自用](更新中......)