CTF-RE 从0到N: windows反调试-获取Process Environment Block(PEB)信息来检测调试

在Windows操作系统中,Process Environment Block (PEB,进程环境块) 是一个包含特定进程信息的数据结构。它可以被用于反调试中

如何获取PEB指针?

在Windows操作系统中,获取PEB指针的常见方法主要有以下几种。:

1. 使用 NtCurrentPeb 获取 PEB

NtCurrentPeb 是Windows内核提供的一个函数,它返回当前进程的PEB指针。这个方法通常用于内核模式或通过非公开的API调用。在用户模式中,你可以使用 NtCurrentPeb 来获取PEB指针。

c 复制代码
PEB* GetPEB()
{
    return NtCurrentPeb();  // 获取当前进程的PEB指针
}

NtCurrentPeb 是Windows的NT内核函数,通常不公开给用户模式程序直接调用,但可以通过动态加载 ntdll.dll 并使用 GetProcAddress 来调用。

2. 使用 NtQueryInformationProcess 获取 PEB

通过 NtQueryInformationProcess 函数,可以查询关于进程的信息,其中包括PEB的指针。这是通过NT内部函数来实现的。

c 复制代码
#include <Windows.h>
#include <winternl.h>

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress;  // PEB的地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESS_INFORMATION_CLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE hProcess)
{
    NtQueryInformationProcess_t NtQueryInformationProcess =
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

:此方法需要依赖动态加载 ntdll.dll,并调用 NtQueryInformationProcess 函数。这个函数是Windows的NT内核接口,返回关于进程的详细信息。

3. 直接通过 NtQueryInformationProcess 查询 PEB 地址

也可以通过调用 NtQueryInformationProcess 来获取进程的PEB地址。你可以查询有关进程的基本信息,其中就包含PEB的地址。

c 复制代码
#include <windows.h>
#include <winternl.h>

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation = 0
} PROCESSINFOCLASS;

typedef struct _PROCESS_BASIC_INFORMATION {
    ULONG Reserved;
    ULONG PebBaseAddress; // PEB地址
    ULONG AffinityMask;
    ULONG BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

typedef NTSTATUS(WINAPI* NtQueryInformationProcess_t)(
    HANDLE ProcessHandle,
    PROCESSINFOCLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength
);

PEB* GetPEB(HANDLE processHandle)
{
    PROCESS_BASIC_INFORMATION pbi;
    ULONG len = 0;
    NtQueryInformationProcess_t NtQueryInformationProcess = 
        (NtQueryInformationProcess_t)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");

    NTSTATUS status = NtQueryInformationProcess(processHandle, ProcessBasicInformation, &pbi, sizeof(pbi), &len);
    if (NT_SUCCESS(status))
    {
        return (PEB*)pbi.PebBaseAddress;
    }
    return NULL;
}

检测PEB的哪些位置来检测调试?

  1. 检查BeingDebugged标志:

    • PEB结构中的BeingDebugged字段直接指示进程是否正在被调试。该字段是一个布尔值,当进程在调试器下运行时,它的值为1,否则为0。
    c 复制代码
    BOOL IsDebuggerPresent()
    {
        PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
        return peb->BeingDebugged; // 返回BeingDebugged字段的值
    }
  2. 检查NtGlobalFlag标志:

    • PEB中的NtGlobalFlag字段包含一些系统标志,其中某些标志在进程被调试器附加时会被设置。例如,FLG_HEAP_ENABLE_TAIL_CHECK, FLG_HEAP_ENABLE_FREE_CHECKFLG_HEAP_VALIDATE_PARAMETERS 会在调试器附加时被设置。
    c 复制代码
    BOOL CheckNtGlobalFlag()
    {
        PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
        DWORD NtGlobalFlag = peb->NtGlobalFlag;
        return (NtGlobalFlag & 0x70) != 0; // 检查特定的调试标志
    }
  3. 检查Heap Flags和ForceFlags:

    • 调试器通常会修改PEB中的Heap Flags和ForceFlags,以启用更严格的堆检查。在PEB中的ProcessHeap字段指向进程的默认堆,这些标志位于该堆结构中。
    c 复制代码
    BOOL CheckHeapFlags()
    {
        PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
        PVOID heap = peb->ProcessHeap; // 获取默认堆地址
        DWORD heapFlags = *(DWORD*)((BYTE*)heap + 0x40);
        DWORD forceFlags = *(DWORD*)((BYTE*)heap + 0x44);
        return (heapFlags & 2) || (forceFlags != 0);
    }
  4. 通过PEB中的StartupInfo检查调试器:

    • PEB中的StartupInfo结构包含有关进程启动的详细信息。可以通过检查StartupInfo中的特定字段来判断是否有调试器存在。
    c 复制代码
    BOOL CheckStartupInfo()
    {
        PEB* peb = (PEB*)__readfsdword(0x30); // 获取PEB地址
        STARTUPINFO* startupInfo = &peb->ProcessParameters->StartupInfo;
        return startupInfo->dwFlags & STARTF_FORCEONFEEDBACK; // 检查特定标志
    }

示例crackMe

以下是反调试代码的反编译示例

c 复制代码
if ( *((_DWORD *)NtCurrentPeb()->ProcessHeap + 3) != 2 )
    a2[v6] = 34;
c 复制代码
if ( (NtCurrentPeb()->NtGlobalFlag & 0x70) != 0 )
    v12 = v10 + v11;
c 复制代码
if ( (unsigned __int8)*(_DWORD *)&NtCurrentPeb()->BeingDebugged )
{
    v10 = -83;
    v11 = 43;
}
相关推荐
九月镇灵将6 天前
爬虫逆向学习(十四):分享一下某数通用破解服务开发经验
爬虫·学习·逆向·补环境·vm2
代码敲得好外卖送到老9 天前
补环境过a_bogus(版本v 1.0.1.19)
爬虫·逆向
A5rZ22 天前
CTF-RE: STL逆向 [NewStarCTF 2023 公开赛道 STL] WP
网络安全·逆向
雾散睛明23 天前
逆向学习:crack me之Acid burn.exe
学习·逆向·crack me
A5rZ23 天前
CTF-RE 从0到N:c语言是如何利用逻辑运算符拆分变量和合并的
网络安全·逆向
bbqz00725 天前
逆向WeChat(八)
c++·微信·逆向·日志·mars·xlog·日志破解·日志加密·日志解密
zhuqiyua1 个月前
直接调用本地API(NTAPI)
操作系统·windbg·逆向·二进制·osed
饮长安千年月1 个月前
浅谈就如何解出Reverse-迷宫题之老鼠走迷宫的一些思考
python·网络安全·逆向·ctf
风间琉璃""1 个月前
二进制与网络安全的关系
安全·机器学习·网络安全·逆向·二进制