+设为首页 +添加到收藏夹
第二节 反跟踪技术
1.meltice子类型 【相关文章:Vista版本众多 零售价格已确定】
1、anti-debug 【扩展阅读:Vista加入新认证技术 争取企业客户】 【扩展信息:百款杀毒软件测试:国际软件简介(2)】 类型:检测softice、trw2000 平台:windows9x、windows nt 原理:用createfilea( )或_lopen( )函数试图获得softice的驱动程序"\\.\sice"(windows9x版本)、"\\.\siwdebug"、"\\.\ntice"(windows nt版本)、"\\.\siwvid"等的句柄,如果成功则说明softice驻留在内存中。2.vwin32_int41dispatch子类型
类型:检测softice 平台:windows9x 原理:vwin32.vxd(其vxd id为0x002a)提供一个名为vwin32_int41dispatch的vxd service(其service id为0x002a),系统内核使用此服务来与系统级调试器如windbg、softice等进行通信。其中0x4f号子功能是用来查询调试器是否已经驻留内存并能否处理保护模式程序,如果是的话则调试器应返回0xf386。3.给softice发送命令
类型:检测softice 平台:windows9x、windows nt 原理:通过调试中断int 3给softice发送命令让其执行,其中si与di寄存器中放的分别是固定值0x4647("fg")与0x4a4d("jm")。ax中存放的是子功能号,值为0x0911则表示让softice执行命令,此时dx指向一个命令字符串如"hboot"等。ax还可以为其它子功能号,比如让softice修改断点设置等。4、boundschecker后门
类型:检测softice 平台:windows9x、windows nt 原理:这是softice为boundschecker留的一个公开的接口,入口参数ebp = 0x4243484b(即"bchk"),al =4,如果softice在内存中则应返回al = 0。这种方法一般也要结合seh?(结构异常处理)来实现,否则当softice不存在时就会引起非法操作。
5.icecream子类型
类型:检测softice、trw2000 平台:windows9x 原理:调试器驻留后修改int 1与int 3的入口,指向它自己的处理程序,所以入口高位偏移与其他中断不同。其他所有中断入口高位偏移都相同。6.int 68h子类型
类型:检测softice 平台:windows9x 原理:mov ah, 43h
int 68h cmp ax, 0f386h ;检测此处是否被调试器设置0f386h jz softice_is_here7.搜索特征串
类型:检测softice ... 下一页