[原创][讨论]Anti-Debug引发的思考-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创][讨论]Anti-Debug引发的思考

发表于: 2012-12-15 17:58 24045

[原创][讨论]Anti-Debug引发的思考

cutself

2012-12-15 17:58

24045

我是VC++程序员，不到两年的windows下编程经验，喜欢底层、逆向分析，各方面来讲，我只不过是个有激情的新手。
初入樵新手CrackMe博物馆的第一页里面，有个叫Pr0Zel的前辈作者发过一篇自作的CrackMe和破文，我的想法和学习计划很简单，就是从这个前辈的CrackMe开始，不断的做类似的练习题。
这是我的第一道带有Anti-Debug技术的练习题。
Anti-Debug技术在我的思维里面，是个真正考验底层技术的试验，但我在这方面比较欠缺，只得先从他的破文开始看起。
这个Crackme有两个Anti技术，第一是用IsDebuggerPresent函数检验程序的调试状态；第二是启用一个计时器，不断的进行CRC文件较验。两者结束程序的方法相同，均用PostQuitMessage方法。
破文从开篇就揭示谜底，用猜测的方法试验程序是如何退出的，比如用OD的IsDebuggerPresent插件，其后又猜测程序是用哪个函数退出的。由于这个CrackMe就是Pr0Zel前辈自己写的，所以这些猜测“恰好”被猜中了，然后CrackMe的Anti-Debug陷阱被攻破了。
我通过Pr0Zel给的链接地址，下载他的CrackMe以及破文，从某种意义上，他是我未谋面的老师，我发此贴子并非商讨老师的教学方法是否得当，也不是发泄我对他的不满，事实上，他无偿地发表CrackMe以及破文，我是挺感谢他的——起码引发出我对某些问题的思考。
破解Anti-Debug技术，用凭空猜测的方式对学习是无益的，这样并不能锻炼增加逆向分析能力，所以我便有了这样的拙见：首先正常运行CrackMe，运行良好，退出它吧；接着用OD调试一份新的CrackMe实例，按F9让它继续运行后，发现它退出了，则说明它有Anti-Debug技术，下一步就应该反推它的退出方式，大致有两种可能：1.在消息循环里用ExitProcess结束进程。2.给消息队列发送退出消息，便其正常跳出消息循环。找到退出方式后，再反推退出条件（即触发条件）。
退出方式->退出条件。这两个步骤，我认为可以解决一个Anti-Debug陷阱，这样的反推逻辑（或步骤）是不是正确的呢？或者说是不是对学习真正有益的呢？
假如真的是正确的，那么问题又来了。
我按照上述的反推逻辑自三个星期前做起，停留在退出方式这一步骤，一直毫无进展。这个CrackMe是基于MFC的程序，若要真的做到寻找到退出方式，是不是必须精通MFC的实现机制，那么是不是意味着每要破解一Anti-Debug，都需要熟悉该程序的框架架构机制？
就像破解加壳软件必须先找到OEP一样，破解Anti-Debug是不是也要首先找到程序的主体代码（比如说窗口回调函数的应用程序实现的那部分，非MFC基类实现的那部分）？
这些问题在我看来，均是方向性问题，决定了船的航向，正所谓差之厘毫、谬以千里，所以很多情况下，我在这些问题上一直犹豫不决（比如这次的CrackMe，平均每天三个小时，持续三个星期，却毫无头绪），不敢轻易涉足，生怕一个不慎，导致自己走弯路从而发生花费大量时间与精力做无用功的事情。即我迫切需要一个良师益友。
以上问题比较杂乱，却是一个有点茫然但很执着的程序员此时学习道路上的真实感受与心理写照。
Pr0Zel前辈的CrackMe和破文敬上：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

crackme.rar （4.67kb，89次下载）
crackme_破文.rar （48.81kb，96次下载）

收藏・9

免费・6

支持

最新回复 (18)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼同样对底层感兴趣，支持一下LZ 2012-12-16 05:44 0
nekaxi 雪币： 8519 活跃值： (5690) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 166 粉丝 0 关注私信	nekaxi 3 楼我与楼主有同样的疑惑，所以注册看雪至今，进步不大。。。wang高人指点迷津 2012-12-16 09:43 0
xtayaitak 雪币： 106 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 217 粉丝 0 关注私信	xtayaitak 4 楼谢谢分享！！！非常感谢！ 2012-12-16 10:15 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 5 楼真心纠结，求大家各发己见 2012-12-16 18:36 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 6 楼感觉破解Anti-Debug技术最大的难点在于反推出程序的退出方式，但是我连程序的主体代码都找不到，不知有啥技巧可以学习？ 2012-12-16 18:48 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 7 楼自己顶一个吧 2013-2-3 09:46 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 8 楼你还不是一个程序员而是一个程序猿，等你成为真正的程序员，理解破解和逆向也只是看你是否有兴趣而已 2013-3-5 19:27 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 9 楼此话何解？难道不需要努力学习的么？ 2013-3-13 17:12 0
INightElf 雪币： 398 活跃值： (676) 能力值： ( LV7，RANK：110 ) 在线值：发帖 15 回帖 143 粉丝 20 关注私信	INightElf 2 10 楼我比较熟悉MFC流程框架,一下子就找到了处理按钮事件,不用3分钟.剩下的事情就是分析验证算法了, 可以关注一下我写的这篇文章. 【原创】每日一破解(第5天 CM测试等级破解) 江湖将会有我的传说 2013-4-3 16:16 0
huyongzs 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 0 关注私信	huyongzs 11 楼我的思路就是ida看看都调用了什么系统调用，如果能看到退出性质的调用就一个一个查，然后把不应该有的退出调用都爆破掉，于是antidebug就废了。 2013-6-15 09:56 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 12 楼你起码保证你能看懂程序在做什么吧，退出方式有无数种，一个完全陌生的程序你怎么去推。如果程序已经知道是MFC写的你应该感到开心。因为程序员在MFC框架里写程序的时候能添加antidebug的位置代码无非就是在一些事件当中，换一句话说整个mfc框架都是“善意”的，你只要在一个框架中找到你要处理的部分后看看他做了什么“恶意”的事情就好了。就像所有的window程序都会调用api，那么是不是必须要精通api才能当一个好的windows cracker呢？这不是废话吗，那么多的汇编指令，不可能所有的部分都去逆向的，你必须要有个大体的框架，一些相对固定的东西作为整体概念，引导你找到关键区域，再对关键区域去逆向阅读，做你想做的事情 2013-7-9 20:02 0
kanghtta 雪币： 420 活跃值： (77) 能力值： ( LV13，RANK：500 ) 在线值：发帖 54 回帖 225 粉丝 3 关注私信	kanghtta 12 13 楼 Scientific but Not Academical Overview of Malware Anti-Debugging, Anti-Disassembly and Anti-VM Technologies 不知道有帮助否？上传的附件： blackhat2012-paper.pdf （298.93kb，66次下载） 2013-7-9 23:31 0
viphack 雪币： 219 活跃值： (878) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 44 关注私信	viphack 4 14 楼顶 mark 学习经验 2013-7-10 00:05 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 15 楼感谢“hulucc”，尤其是“你必须要有个大体的框架，一些相对固定的东西作为整体概念，引导你找到关键区域，再对关键区域去逆向阅读，做你想做的事情 ”，如醍醐灌顶，我想我应当把该句当作kill anti-dubug的座右铭！ 2013-9-11 13:05 0
学者learner 雪币： 153 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 1 关注私信	学者learner 16 楼呵呵，我现在和lz一样，在论坛上找点软件练习，我并不会感觉浪费时间和精力，也不会说自己走弯路，因为喜欢，所以执着，而如果你只是为了赚钱或者怀着某种目的。（像你这种怀着怕走弯路的思想不可取），只能说动机不纯。。。我始终坚信，只有兴趣才能决定你能走多远。。。 2013-9-11 17:33 0
zccqrqr 雪币： 59 活跃值： (142) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 66 粉丝 0 关注私信	zccqrqr 17 楼程序中有两个CRC校验如果让我来写这个程序怎么样才能让两个CRC校验同时满足条件呢？比如一个CRC算出是 0x11223344 我们修改了程序相关验证位置为0x11223344本身之后遇到第二个CRC校验我们写上同样的位置那么第一次的CRC校验值就不是0x11223344 意思就是第一个CRC校验的范围包含了第二次 CRC校验的值但源程序中好像两个CRC同时满足了对方望解答怎么实现的 2013-9-16 22:09 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 18 楼你所描述的是需要数学上算法支持的，并且对CRC验证的内容有所要求，我估计是你弄错了。 CRC直接去掉验证转跳不就好了 2013-9-27 23:03 0
zccqrqr 雪币： 59 活跃值： (142) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 66 粉丝 0 关注私信	zccqrqr 19 楼谢谢你回复我只是在这里超级好奇作者是这么实现的并不是想说怎么的好过它 2013-10-4 16:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cutself

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼同样对底层感兴趣，支持一下LZ 2012-12-16 05:44 0
nekaxi 雪币： 8519 活跃值： (5690) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 166 粉丝 0 关注私信	nekaxi 3 楼我与楼主有同样的疑惑，所以注册看雪至今，进步不大。。。wang高人指点迷津 2012-12-16 09:43 0
xtayaitak 雪币： 106 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 217 粉丝 0 关注私信	xtayaitak 4 楼谢谢分享！！！非常感谢！ 2012-12-16 10:15 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 5 楼真心纠结，求大家各发己见 2012-12-16 18:36 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 6 楼感觉破解Anti-Debug技术最大的难点在于反推出程序的退出方式，但是我连程序的主体代码都找不到，不知有啥技巧可以学习？ 2012-12-16 18:48 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 7 楼自己顶一个吧 2013-2-3 09:46 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 8 楼你还不是一个程序员而是一个程序猿，等你成为真正的程序员，理解破解和逆向也只是看你是否有兴趣而已 2013-3-5 19:27 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 9 楼此话何解？难道不需要努力学习的么？ 2013-3-13 17:12 0
INightElf 雪币： 398 活跃值： (676) 能力值： ( LV7，RANK：110 ) 在线值：发帖 15 回帖 143 粉丝 20 关注私信	INightElf 2 10 楼我比较熟悉MFC流程框架,一下子就找到了处理按钮事件,不用3分钟.剩下的事情就是分析验证算法了, 可以关注一下我写的这篇文章. 【原创】每日一破解(第5天 CM测试等级破解) 江湖将会有我的传说 2013-4-3 16:16 0
huyongzs 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 0 关注私信	huyongzs 11 楼我的思路就是ida看看都调用了什么系统调用，如果能看到退出性质的调用就一个一个查，然后把不应该有的退出调用都爆破掉，于是antidebug就废了。 2013-6-15 09:56 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 12 楼你起码保证你能看懂程序在做什么吧，退出方式有无数种，一个完全陌生的程序你怎么去推。如果程序已经知道是MFC写的你应该感到开心。因为程序员在MFC框架里写程序的时候能添加antidebug的位置代码无非就是在一些事件当中，换一句话说整个mfc框架都是“善意”的，你只要在一个框架中找到你要处理的部分后看看他做了什么“恶意”的事情就好了。就像所有的window程序都会调用api，那么是不是必须要精通api才能当一个好的windows cracker呢？这不是废话吗，那么多的汇编指令，不可能所有的部分都去逆向的，你必须要有个大体的框架，一些相对固定的东西作为整体概念，引导你找到关键区域，再对关键区域去逆向阅读，做你想做的事情 2013-7-9 20:02 0
kanghtta 雪币： 420 活跃值： (77) 能力值： ( LV13，RANK：500 ) 在线值：发帖 54 回帖 225 粉丝 3 关注私信	kanghtta 12 13 楼 Scientific but Not Academical Overview of Malware Anti-Debugging, Anti-Disassembly and Anti-VM Technologies 不知道有帮助否？上传的附件： blackhat2012-paper.pdf （298.93kb，66次下载） 2013-7-9 23:31 0
viphack 雪币： 219 活跃值： (878) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 44 关注私信	viphack 4 14 楼顶 mark 学习经验 2013-7-10 00:05 0
cutself 雪币： 0 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	cutself 1 15 楼感谢“hulucc”，尤其是“你必须要有个大体的框架，一些相对固定的东西作为整体概念，引导你找到关键区域，再对关键区域去逆向阅读，做你想做的事情 ”，如醍醐灌顶，我想我应当把该句当作kill anti-dubug的座右铭！ 2013-9-11 13:05 0
学者learner 雪币： 153 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 1 关注私信	学者learner 16 楼呵呵，我现在和lz一样，在论坛上找点软件练习，我并不会感觉浪费时间和精力，也不会说自己走弯路，因为喜欢，所以执着，而如果你只是为了赚钱或者怀着某种目的。（像你这种怀着怕走弯路的思想不可取），只能说动机不纯。。。我始终坚信，只有兴趣才能决定你能走多远。。。 2013-9-11 17:33 0
zccqrqr 雪币： 59 活跃值： (142) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 66 粉丝 0 关注私信	zccqrqr 17 楼程序中有两个CRC校验如果让我来写这个程序怎么样才能让两个CRC校验同时满足条件呢？比如一个CRC算出是 0x11223344 我们修改了程序相关验证位置为0x11223344本身之后遇到第二个CRC校验我们写上同样的位置那么第一次的CRC校验值就不是0x11223344 意思就是第一个CRC校验的范围包含了第二次 CRC校验的值但源程序中好像两个CRC同时满足了对方望解答怎么实现的 2013-9-16 22:09 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 18 楼你所描述的是需要数学上算法支持的，并且对CRC验证的内容有所要求，我估计是你弄错了。 CRC直接去掉验证转跳不就好了 2013-9-27 23:03 0
zccqrqr 雪币： 59 活跃值： (142) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 66 粉丝 0 关注私信	zccqrqr 19 楼谢谢你回复我只是在这里超级好奇作者是这么实现的并不是想说怎么的好过它 2013-10-4 16:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复