LyScript實(shí)現(xiàn)繞過反調(diào)試保護(hù)的示例詳解

更新時(shí)間：2022年08月12日 14:09:56 作者：lyshark

LyScript插件中內(nèi)置的方法可實(shí)現(xiàn)各類反調(diào)試以及屏蔽特定API函數(shù)的功能，這類功能在應(yīng)對病毒等惡意程序時(shí)非常有效。本文為大家提供了LyScript實(shí)現(xiàn)繞過反調(diào)試保護(hù)的示例代碼，感興趣的可以了解一下

LyScript插件中內(nèi)置的方法可實(shí)現(xiàn)各類反調(diào)試以及屏蔽特定API函數(shù)的功能，這類功能在應(yīng)對病毒等惡意程序時(shí)非常有效，例如當(dāng)程序調(diào)用特定API函數(shù)時(shí)我們可以將其攔截，從而實(shí)現(xiàn)保護(hù)系統(tǒng)在調(diào)試時(shí)不被破壞的目的。

LyScript項(xiàng)目地址: https://github.com/lyshark/LyScript

繞過反調(diào)試機(jī)制: 最常用的反調(diào)試機(jī)制就是用IsDebuggerPresent該標(biāo)志檢查PEB+2位置處的內(nèi)容，如果為1則表示正在被調(diào)試，我們運(yùn)行腳本直接將其設(shè)置為0即可繞過反調(diào)試機(jī)制。

也就是進(jìn)程環(huán)境塊中+2的位置，此處是一個(gè)字節(jié)標(biāo)志，反調(diào)試的機(jī)制是，程序調(diào)用IsDebuggerPresent檢查此處的標(biāo)志，如果為1則說明程序正在被調(diào)試，為0則說明沒有被調(diào)試，只需要在運(yùn)行之前將其設(shè)置為0即可繞過反調(diào)試。

from LyScript32 import MyDebug

if __name__ == "__main__":
    # 初始化
    dbg = MyDebug()
    dbg.connect()

    # 通過PEB找到調(diào)試標(biāo)志位
    peb = dbg.get_peb_address(dbg.get_process_id())
    print("調(diào)試標(biāo)志地址: 0x{:x}".format(peb+2))

    flag = dbg.read_memory_byte(peb+2)
    print("調(diào)試標(biāo)志位: {}".format(flag))

    # 將調(diào)試標(biāo)志設(shè)置為0即可過掉反調(diào)試
    nop_debug = dbg.write_memory_byte(peb+2,0)
    print("反調(diào)試?yán)@過狀態(tài): {}".format(nop_debug))
    
    dbg.close()

將程序載入調(diào)試器，并運(yùn)行如上腳本，然后運(yùn)行程序，你會(huì)發(fā)現(xiàn)反調(diào)試被繞過了。

其次我們還可以動(dòng)態(tài)的在函數(shù)開頭位置寫入sub eax,eax,ret指令，這樣當(dāng)程序要調(diào)用特定函數(shù)時(shí)，會(huì)直接返回退出，從而達(dá)到屏蔽函數(shù)執(zhí)行等目的。

from LyScript32 import MyDebug

# 得到所需要的機(jī)器碼
def set_assemble_opcde(dbg,address):
    # 得到第一條長度
    opcode_size = dbg.assemble_code_size("sub eax,eax")

    # 寫出匯編指令
    dbg.assemble_at(address, "sub eax,eax")
    dbg.assemble_at(address + opcode_size , "ret")

if __name__ == "__main__":
    # 初始化
    dbg = MyDebug()
    dbg.connect()

    # 得到函數(shù)所在內(nèi)存地址
    process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
    process32next = dbg.get_module_from_function("kernel32","Process32NextW")
    messagebox = dbg.get_module_from_function("user32.dll","MessageBoxA")
    messageboxw = dbg.get_module_from_function("user32.dll", "MessageBoxW")

    print(hex(messagebox)," ",hex(messageboxw))

    # 替換函數(shù)位置為sub eax,eax ret
    set_assemble_opcde(dbg, messagebox)
    set_assemble_opcde(dbg,messageboxw)

    dbg.close()

如上，我們在彈窗位置寫出返回指令，然后運(yùn)行程序，你會(huì)發(fā)現(xiàn)，彈窗不會(huì)出現(xiàn)了，這也就把這個(gè)函數(shù)給屏蔽了。

同理，繞過進(jìn)程枚舉，依然可以使用此方式實(shí)現(xiàn)。

繞過進(jìn)程枚舉: 病毒會(huì)枚舉所有運(yùn)行的進(jìn)程以確認(rèn)是否有調(diào)試器在運(yùn)行，我們可以在特定的函數(shù)開頭處寫入SUB EAX,EAX RET指令讓其無法調(diào)用枚舉函數(shù)從而失效。

from LyScript32 import MyDebug

# 得到所需要的機(jī)器碼
def set_assemble_opcde(dbg,address):
    # 得到第一條長度
    opcode_size = dbg.assemble_code_size("sub eax,eax")

    # 寫出匯編指令
    dbg.assemble_at(address, "sub eax,eax")
    dbg.assemble_at(address + opcode_size , "ret")

if __name__ == "__main__":
    # 初始化
    dbg = MyDebug()
    dbg.connect()

    # 得到函數(shù)所在內(nèi)存地址
    process32first = dbg.get_module_from_function("kernel32","Process32FirstW")
    process32next = dbg.get_module_from_function("kernel32","Process32NextW")
    print("process32first = 0x{:x} | process32next = 0x{:x}".format(process32first,process32next))

    # 替換函數(shù)位置為sub eax,eax ret
    set_assemble_opcde(dbg, process32first)
    set_assemble_opcde(dbg, process32next)

    dbg.close()

到此這篇關(guān)于LyScript實(shí)現(xiàn)繞過反調(diào)試保護(hù)的示例詳解的文章就介紹到這了,更多相關(guān)LyScript繞過反調(diào)試保護(hù)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之

您可能感興趣的文章: