设为首页收藏本站每日签到
切换到宽版

宝峰科技

 找回密码
 注册

QQ登录

只需一步,快速开始

宝峰科技»网站 程序设计 Delphi&XE Delphi制作19种反调试检测调试程序
智能终端设备维修查询系统注册会员邮箱认证须知!
返回列表 发新帖
查看: 3088|回复: 0

[分享] Delphi制作19种反调试检测调试程序

[复制链接]

该用户从未签到
破解狼人 发表于 2010-10-31 21:30:17 | 显示全部楼层 |阅读模式

欢迎您注册加入!这里有您将更精采!

您需要 登录 才可以下载或查看,没有账号?注册

x
曾几何时,我徘徊在了调试与反调试的地平线上。 调试与反调试、反反调试是永远存在的问题,现在的大多数软件也加了反调试功能(尤其是网游),保护其不被调试破解。调试大家都知道有很多这方面的工具,如OD、CE、ICE...,反调试大家也知道有很多种方法,如自己加代码实现、加壳等,反反调试...今天做了一个小程序,采用了19种方式来检测自己是否被调试、下断等,这只是一个小测试,没有加入驱动和hook等乱七八糟的东西,纯以代码实现。有兴趣的朋友可以帮忙测试下。好了,废话到此为止,我们来看代码:(代码随便写的,如有BUG请勿取笑)
  1. unit Unit1;

  3. interface

  5. uses
  6.   JwaNative,  Debug,
  7.   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  8.   Dialogs, StdCtrls, ExtCtrls;

  10. type
  11.   TForm1 = class(TForm)
  12.       Button1: TButton;
  13.       Timer1: TTimer;
  14.       Button2: TButton;
  15.       Label1: TLabel;
  16.       Label2: TLabel;
  17.       Label3: TLabel;
  18.       Label4: TLabel;
  19.       procedure Timer1Timer(Sender: TObject);
  20.       procedure Button2Click(Sender: TObject);
  21.   private
  22.       { Private declarations }
  23.   public
  24.       { Public declarations }
  25.   end;

  27. var
  28.   Form1: TForm1;

  30. function FD_IsDebuggerPresent(): Boolean;
  31.   function PD_PEB_BeingDebuggedFlag(): Boolean;
  32.   function FD_PEB_NtGlobalFlags(): Boolean;
  33.   function FD_Heap_HeapFlags(): Boolean;
  34.   function FD_Heap_ForceFlags(): Boolean;
  35.   function FD_CheckRemoteDebuggerPresent(): Boolean;
  36.   function FD_NtQueryInfoProc_DbgPort(): Boolean;
  37.   function FD_NtQueryInfoProc_DbgObjHandle(): Boolean;
  38.   function FD_NtQueryInfoProc_DbgFlags(): Boolean;
  39.   function FD_SeDebugPrivilege(csrssPid: THandle): Boolean;
  40.   function FD_Find_Debugger_Window(): Boolean;
  41.   function FD_Exception_Closehandle(): Boolean;
  42.   function FD_Exception_Int3(): Boolean;
  43.   function FD_OutputDebugString(): boolean;
  44.   function FD_Check_StartupInfo(): Boolean;
  45.   function FD_INT_2d(): Boolean;
  46.   function FS_OD_Int3_Pushfd(): Boolean;
  47.   function FS_SI_Exception_Int1(): Boolean;
  48.   function FB_HWBP_Exception(): Boolean;

  50. implementation

  52. {$R *.dfm}
  53. procedure TForm1.Button2Click(Sender: TObject);
  54. begin
  55.   ExitProcess(0);
  56. end;

  58. procedure TForm1.Timer1Timer(Sender: TObject);
  59. var
  60.   isdebugged: DWORD;
  61.   retLen: PULONG;
  62.   ProcessHandle: DWORD;
  63.   tmp: PChar;
  64. label
  65.   IsDebug;
  66. begin
  67.   try
  68.       //反调试检测

  70.       isdebugged := 0;
  71.       if FB_HWBP_Exception then isdebugged := isdebugged + 1;
  72.       label4.Caption := IntToStr(isdebugged);
  73.       if FS_SI_Exception_Int1 then isdebugged := isdebugged + 1;
  74.       label4.Caption := IntToStr(isdebugged);
  75.       if FD_Find_Debugger_Window then isdebugged := isdebugged + 1;
  76.       if FD_IsDebuggerPresent then isdebugged := isdebugged + 1;
  77.       if PD_PEB_BeingDebuggedFlag then isdebugged := isdebugged + 1;
  78.       if FD_PEB_NtGlobalFlags then isdebugged := isdebugged + 1;
  79.       if FD_Heap_HeapFlags then isdebugged := isdebugged + 1;
  80.       if FD_CheckRemoteDebuggerPresent then isdebugged := isdebugged + 1;
  81.       if FD_NtQueryInfoProc_DbgPort then isdebugged := isdebugged + 1;
  82.       if FD_NtQueryInfoProc_DbgObjHandle then isdebugged := isdebugged + 1;
  83.       if FD_NtQueryInfoProc_DbgFlags then isdebugged := isdebugged + 1;
  84.       if FD_SeDebugPrivilege(916) then isdebugged := isdebugged + 1;
  85.       if FD_Exception_Closehandle then isdebugged := isdebugged + 1;
  86.       if FD_Exception_Int3 then isdebugged := isdebugged + 1;
  87.       if FD_OutputDebugString then isdebugged := isdebugged + 1;
  88.       if FD_Check_StartupInfo then isdebugged := isdebugged + 1;
  89.       if FD_INT_2d then isdebugged := isdebugged + 1;
  90.       if FS_OD_Int3_Pushfd then isdebugged := isdebugged + 1;


  93. IsDebug:
  94.       if isdebugged > 0 then
  95.         tmp := pchar('存在调试器!(共有' + inttostr(isdebugged) + '种方法检测出调试器)')
  96.       else
  97.         tmp := '正常执行!';
  98.       Label1.Caption := tmp;
  99.   except
  100.       on e: Exception do
  101.       debug.DebugPrint('发生错误!' + #10#13 + e.Message);
  102.   end;
  103. end;


  106. //使用IsDebuggerPresent这个API来检测是否被调试
  107. function FD_IsDebuggerPresent(): Boolean;
  108. begin
  109.   if IsDebuggerPresent then
  110.       Result := True
  111.   else
  112.       Result := False;
  113. end;

  115. //使用查看PEB结构中标志位beingDegug来检测是否被调试
  116. function PD_PEB_BeingDebuggedFlag(): Boolean;
  117. begin
  118.   asm
  119.       mov @result, 0
  120.       mov eax, fs:[30h]  //EAX = TEB.ProcessEnvironmentBlock
  121.       add eax, 2
  122.       mov eax, [eax]
  123.       and eax, $000000ff //AL = PEB.BeingDebugged
  124.       test eax, eax
  125.       jne @IsDebug
  126.       jmp @exit
  127.   @IsDebug:
  128.       mov @result, 1
  129.   @exit:
  130.   end;
  131. end;

  133. //查看PEB结构中的NtGlobalFlags标志位来检测是否被调试
  134. function FD_PEB_NtGlobalFlags(): Boolean;
  135. begin
  136.   asm
  137.       mov @result, 0
  138.       mov eax, fs:[30h]
  139.       mov eax, [eax+68h]
  140.       and eax, $70      //NtGlobalFlags
  141.       test eax, eax
  142.       jne @IsDebug
  143.       jmp @exit
  144.   @IsDebug:
  145.       mov @result, 1
  146.   @exit:
  147.   end;
  148. end;

  150. //在PEB结构中,使用HeapFlags来
  151. //检测调试器也不是非常可靠,但却很常用。
  152. //这个域由一组标志组成,正常情况下,该值应为2
  153. function FD_Heap_HeapFlags(): Boolean;
  154. begin
  155.   asm
  156.       mov @result, 0
  157.       mov eax, fs:[30h]
  158.       mov eax, [eax+18h] //PEB.ProcessHeap
  159.       mov eax, [eax+0ch] //PEB.ProcessHeap.Flags
  160.       cmp eax, 2
  161.       jne @IsDebug
  162.       jmp @exit
  163.   @IsDebug:
  164.       mov @result, 1
  165.   @exit:
  166.   end;
  167. end;

  169. //检测PEB结构中的标志位ForceFlags,它也由一
  170. //组标志组成,正常情况下,该值应为0
  171. function FD_Heap_ForceFlags(): Boolean;
  172. begin
  173.   asm
  174.       mov @result, 0
  175.       mov eax, fs:[30h]
  176.       mov eax, [eax+18h]       mov eax, [eax+10h]
  177.       test eax, eax
  178.       jne @IsDebug
  179.       jmp @exit
  180.   @IsDebug:
  181.       mov @result, 1
  182.   @exit:
  183.   end;
  184. end;

  186. //使用API:CheckRemoteDebuggerPresent
  187. function FD_CheckRemoteDebuggerPresent(): Boolean;
  188. var
  189.   Func_Addr: Pointer;
  190.   hModule: Cardinal;
  191.   pDebugBool: PBool;
  192. begin
  193.   result := false;
  194.   hModule := GetModuleHandle('kernel32.dll');
  195.   if hModule = INVALID_HANDLE_VALUE then exit;
  196.   Func_addr := GetProcAddress(hModule, 'CheckRemoteDebuggerPresent');
  197.   if (Func_addr <> nil) then begin
  198.       asm
  199.         lea eax, pDebugBool
  200.         push eax
  201.         push $ffffffff
  202.         call Func_addr
  203.         cmp dword ptr[pDebugBool], 0
  204.         jne @IsDebug
  205.         jmp @exit
  206.       @IsDebug:
  207.         mov @result, 1
  208.       @exit:
  209.       end;
  210.   end;
  211. end;

  213. //使用ntdll_NtQueryInformationProcess()来查询
  214. //ProcessDebugPort可以用来检测反调试
  215. function FD_NtQueryInfoProc_DbgPort(): Boolean;
  216. var
  217.   Func_Addr: Pointer;
  218.   hModule: Cardinal;
  219.   ReturnLength: PULONG;
  220.   dwDebugPort: PDWORD;
  221. begin
  222.   result := false;
  223.   hModule := GetModuleHandle('ntdll.dll');
  224.   if hModule = INVALID_HANDLE_VALUE then exit;
  225.   Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
  226.   if (Func_addr <> nil) then begin
  227.       asm
  228.         lea eax, ReturnLength
  229.         push eax                    //ReturnLength
  230.         push 4                      //ProcessInformationLength
  231.         lea eax, dwDebugPort
  232.         push eax                    //ProcessInformation
  233.         push 7                      //ProcessInformationClass
  234.         push $FFFFFFFF              //ProcessHandle
  235.         call Func_addr              //NtQueryInformationProcess
  236.         cmp [dwDebugPort], 0
  237.         jne @IsDebug
  238.         jmp @exit
  239.       @IsDebug:
  240.         mov @result, 1
  241.       @exit:
  242.       end;
  243.   end;
  244. end;

  246. //查询winXp自动创建的"debug object"的句柄
  247. function FD_NtQueryInfoProc_DbgObjHandle(): Boolean;
  248. var
  249.   Func_Addr: Pointer;
  250.   hModule: Cardinal;
  251.   ReturnLength: PULONG;
  252.   dwDebugPort: PDWORD;
  253. begin
  254.   result := false;
  255.   hModule := GetModuleHandle('ntdll.dll');
  256.   if hModule = INVALID_HANDLE_VALUE then exit;
  257.   Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
  258.   if (Func_addr <> nil) then begin
  259.       asm
  260.         lea eax, ReturnLength
  261.         push eax
  262.         push 4
  263.         lea eax, dwDebugPort
  264.         push eax
  265.         push $1E
  266.         push $FFFFFFFF
  267.         call Func_addr
  268.         mov eax, [dwDebugPort]
  269.         test eax, eax
  270.         jnz @IsDebug
  271.         jmp @exit
  272.       @IsDebug:
  273.         mov @result, 1
  274.       @exit:
  275.       end;
  276.   end;
  277. end;

  279. //查询winXp自动创建的"debug object",
  280. //未公开的ProcessDebugFlags类,当调试器存在时,它会返回false
  281. function FD_NtQueryInfoProc_DbgFlags(): Boolean;
  282. var
  283.   Func_Addr: Pointer;
  284.   hModule: Cardinal;
  285.   ReturnLength: PULONG;
  286.   dwDebugPort: PDWORD;
  287. begin
  288.   result := false;
  289.   hModule := GetModuleHandle('ntdll.dll');
  290.   if hModule = INVALID_HANDLE_VALUE then exit;
  291.   Func_addr := GetProcAddress(hModule, 'ZwQueryInformationProcess');
  292.   if (Func_addr <> nil) then begin
  293.       asm
  294.         lea eax, ReturnLength
  295.         push eax
  296.         push 4
  297.         lea eax, dwDebugPort
  298.         push eax
  299.         push $1F
  300.         push $FFFFFFFF
  301.         call Func_addr
  302.         mov eax, [dwDebugPort]
  303.         test eax, eax
  304.         jz @IsDebug
  305.         jmp @exit
  306.       @IsDebug:
  307.         mov @result, 1
  308.       @exit:
  309.       end;
  310.   end;
  311. end;

  313. //是否获得SeDebugPrivilege
  314. //是否可以使用openprocess操作CSRSS.EXE
  315. function FD_SeDebugPrivilege(csrssPid: THandle): Boolean;
  316. var
  317.   hTmp: Cardinal;
  318. begin
  319.   result := False;
  320.   hTmp := OpenProcess(PROCESS_ALL_ACCESS,false,csrssPid);
  321.   if hTmp <> 0 then begin
  322.       CloseHandle (hTmp);
  323.       result := true;
  324.   end;
  325. end;

  327. //查找已知的调试器的窗口来检测是否被调试
  328. function FD_Find_Debugger_Window(): Boolean;
  329. var
  330.   whWnd: DWORD;
  331. begin
  332.   result := True;
  333.   //ollydbg v1.1
  334.   whWnd := FindWindow('icu_dbg', nil);
  335.   if whWnd <> 0 then Exit;
  336.   //ollyice pe--diy
  337.   whWnd := FindWindow('pe--diy', nil);
  338.   if whWnd <> 0 then Exit;
  339.   //ollydbg ?-
  340.   whWnd := FindWindow('ollydbg', nil);
  341.   if whWnd <> 0 then Exit;
  342.   //windbg
  343.   whWnd := FindWindow('WinDbgFrameClass', nil);
  344.   if whWnd <> 0 then Exit;
  345.   //dede3.50
  346.   whWnd := FindWindow('TDeDeMainForm', nil);
  347.   if whWnd <> 0 then Exit;
  348.   //IDA5.20
  349.   whWnd := FindWindow('TIdaWindow', nil);
  350.   if whWnd <> 0 then Exit;
  351.   result := False;
  352. end;

  354. //给CloseHandle()函数一个无效句柄作为输入参数
  355. //是否触发一个EXCEPTION_INVALID_HANDLE (0xc0000008)的异常
  356. function FD_Exception_Closehandle(): Boolean;
  357. begin
  358.   try
  359.       CloseHandle($00001234);
  360.       result := False;
  361.   except
  362.       Result := True;
  363.   end;
  364. end;

  366. //int3 检测
  367. function FD_Exception_Int3(): Boolean;
  368. begin
  369.       asm
  370.         mov @result, 0
  371.         push offset @exception_handler //set exception handler
  372.         push dword ptr fs:[0h]
  373.         mov dword ptr fs:[0h],esp
  374.         xor eax,eax       //reset EAX invoke int3
  375.         int 3h
  376.         pop dword ptr fs:[0h] //restore exception handler
  377.         add esp,4
  378.         test eax,eax // check the flag
  379.         je @IsDebug
  380.         jmp @exit
  381.       @exception_handler:
  382.         mov eax,dword ptr [esp+$c]//EAX = ContextRecord
  383.         mov dword ptr [eax+$b0],$ffffffff//set flag (ContextRecord.EAX)
  384.         inc dword ptr [eax+$b8]//set ContextRecord.EIP
  385.         xor eax,eax
  386.         ret
  387.       @IsDebug:
  388.         xor eax,eax
  389.         inc eax
  390.         mov esp,ebp
  391.         pop ebp
  392.         ret
  393.       @exit:
  394.         xor eax,eax
  395.         mov esp,ebp
  396.         pop ebp
  397.         ret
  398.       end;
  399. end;

  401. //使用OutputDebugString函数来检测
  402. function FD_OutputDebugString(): boolean;
  403. var
  404.   tmpD: DWORD;
  405. begin
  406.   OutputDebugString('');
  407.   tmpD := GetLastError;
  408.   if(tmpD = 0) then
  409.       result := true
  410.   else
  411.       Result := false;
  412. end;

  414. //检测STARTUPINFO结构中的值是否为0
  415. function FD_Check_StartupInfo(): Boolean;
  416. var
  417.   si: STARTUPINFO;
  418. begin
  419.   ZeroMemory(@si, sizeof(si));
  420.   si.cb := sizeof(si);
  421.   GetStartupInfo(si);
  422.   if (si.dwX <> 0) and (si.dwY <> 0)
  423.       and (si.dwXCountChars <> 0)
  424.       and (si.dwYCountChars <> 0)
  425.       and (si.dwFillAttribute <> 0)
  426.       and (si.dwXSize <> 0)
  427.       and (si.dwYSize <> 0) then begin
  428.       result := true
  429.   end else
  430.       result := false;
  431. end;

  433. //使用int 2dh中断的异常检测
  434. function FD_INT_2d(): Boolean;
  435. begin
  436.   try
  437.       asm
  438.         int 2dh
  439.         inc eax //any opcode of singlebyte.
  440.                 //;or u can put some junkcode,
  441.                 //"0xc8"..."0xc2"..."0xe8"..."0xe9"
  442.         mov @result, 1
  443.       end;
  444.   except
  445.       Result := false;
  446.   end;
  447. end;

  449. //最近比较牛的反调试
  450. function FS_OD_Int3_Pushfd(): Boolean;
  451. begin
  452.   asm
  453.       push offset @e_handler //set exception handler
  454.       push dword ptr fs:[0h]
  455.       mov dword ptr fs:[0h],esp
  456.       xor eax,eax //reset EAX invoke int3
  457.       int 3h
  458.       pushfd
  459.       nop
  460.       nop
  461.       nop
  462.       nop
  463.       pop dword ptr fs:[0h]  //restore exception handler
  464.       add esp,4

  466.       test eax,eax  //check the flag
  467.       je @IsDebug
  468.       jmp @Exit

  470. @e_handler:
  471.       push offset @e_handler1  //set exception handler
  472.       push dword ptr fs:[0h]
  473.       mov dword ptr fs:[0h],esp
  474.       xor eax,eax  //reset EAX invoke int3
  475.       int 3h
  476.       nop
  477.       pop dword ptr fs:[0h]  //restore exception handler
  478.       add esp,4      //EAX = ContextRecord
  479.       mov ebx,eax  //dr0=>ebx
  480.       mov eax,dword ptr [esp+$c]     //set ContextRecord.EIP
  481.       inc dword ptr [eax+$b8]
  482.       mov dword ptr [eax+$b0],ebx  //dr0=>eax
  483.       xor eax,eax
  484.       ret

  486. @e_handler1:        //EAX = ContextRecord
  487.       mov eax,dword ptr [esp+$c]     //set ContextRecord.EIP
  488.       inc dword ptr [eax+$b8]
  489.       mov ebx,dword ptr[eax+$04]
  490.       mov dword ptr [eax+$b0],ebx  //dr0=>eax
  491.       xor eax,eax
  492.       ret

  494. @IsDebug:
  495.       mov @result, 1
  496.       mov esp,ebp
  497.       pop ebp
  498.       ret
  499.   @Exit:
  500.       mov esp,ebp
  501.       pop ebp
  502.       ret
  503.   end;
  504. end;

  506. //使用int1的异常检测来反调试
  507. function FS_SI_Exception_Int1(): Boolean;
  508. begin
  509.   asm
  510.       mov @result, 0
  511.       push offset @eh_int1 //set exception handler
  512.       push dword ptr fs:[0h]
  513.       mov dword ptr fs:[0h],esp
  514.       xor eax,eax  //reset flag(EAX) invoke int3
  515.       int 1h
  516.       pop dword ptr fs:[0h] //restore exception handler
  517.       add esp,4
  518.       test eax, eax  // check the flag
  519.       je @IsDebug
  520.       jmp @Exit

  522. @eh_int1:
  523.       mov eax,[esp+$4]
  524.       mov ebx,dword ptr [eax]
  525.       mov eax,dword ptr [esp+$c] //EAX = ContextRecord
  526.       mov dword ptr [eax+$b0],1 //set flag (ContextRecord.EAX)
  527.       inc dword ptr [eax+$b8] //set ContextRecord.EIP
  528.       inc dword ptr [eax+$b8] //set ContextRecord.EIP
  529.       xor eax, eax
  530.       ret
  531.   @IsDebug:
  532.       mov @result, 1
  533.       mov esp,ebp
  534.       pop ebp
  535.       ret
  536.   @Exit:
  537.       xor eax, eax
  538.       mov esp,ebp
  539.       pop ebp
  540.       ret
  541.   end;
  542. end;

  544. //在异常处理过程中检测硬件断点
  545. function FB_HWBP_Exception(): Boolean;
  546. begin
  547.   asm
  548.       push offset @exeception_handler //set exception handler
  549.       push dword ptr fs:[0h]
  550.       mov dword ptr fs:[0h],esp
  551.       xor eax,eax  //reset EAX invoke int3
  552.       int 1h
  553.       pop dword ptr fs:[0h]  //restore exception handler
  554.       add esp,4  //test if EAX was updated (breakpoint identified)
  555.       test eax,eax
  556.       jnz @IsDebug
  557.       jmp @Exit

  559. @exeception_handler:       //EAX = CONTEXT record
  560.       mov eax,dword ptr [esp+$c]  //check if Debug Registers Context.Dr0-Dr3 is not zero
  561.       cmp dword ptr [eax+$04],0
  562.       jne @hardware_bp_found
  563.       cmp dword ptr [eax+$08],0
  564.       jne @hardware_bp_found
  565.       cmp dword ptr [eax+$0c],0
  566.       jne @hardware_bp_found
  567.       cmp dword ptr [eax+$10],0
  568.       jne @hardware_bp_found
  569.       jmp @exception_ret
  570.   @hardware_bp_found: //set Context.EAX to signal breakpoint found
  571.       mov dword ptr [eax+$b0],$FFFFFFFF
  572.   @exception_ret:       //set Context.EIP upon return
  573.       inc dword ptr [eax+$b8] //set ContextRecord.EIP
  574.       inc dword ptr [eax+$b8] //set ContextRecord.EIP
  575.       xor eax,eax
  576.       ret
  577.   @IsDebug:
  578.       mov @result, 1
  579.       mov esp,ebp
  580.       pop ebp
  581.       ret
  582.   @Exit:
  583.       xor eax, eax
  584.       mov esp,ebp
  585.       pop ebp
  586.       ret
  587.   end;
  588. end;

  590. end.
复制代码
现在你可以试试用CE、OD等调试工具,看这个小小的程序能检测出自己被调试吗?
Delphi, 反调试, 检测, 调试程序

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件编程开发或软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习编程开发技术或逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者用于商业用途!否则,一切后果请用户自负!

QQ|Archiver|手机版|小黑屋|联系我们|宝峰科技 ( 滇公网安备 53050202000040号 | 滇ICP备09007156号-2 )

Copyright © 2001-2023 Discuz! Team. GMT+8, 2024-12-22 20:24 , File On Powered by Discuz! X3.49

快速回复 返回顶部 返回列表