早就决定把反调试这个小技术方向拿来扒一扒,可是技术点实在太多,而且相互交叉,实在又不太好明确分类,想一想应该画一张总体概览图,这样不但便于你们迅速浏览整体框架,也便于随时查找,花了两天时间把以前的知识又浏览了一下,作到尽量不出错但可能仍是在所不免,请各位见谅,如有不正确或者不完善的地方请读者帮忙指出,你们共同进步!
在画完整个思惟导图发现图太大,没法在网页清楚显示,因而再花点时间把它分开截图说明,并在结尾处给出附件,和原版可编辑的X-mind图,方便你们自行编辑补充!
1 整体技术点概览:
Being Debuged、CheckRemoteDebuggerPresent()、NTQuerySystem Information()、NTQueryObject()、ZwSetInformationThread()、检测调试器、父进程检测、时间差、陷阱标志 TrapFlag、INT2d、0xCC检测、比较校验和、垃圾代码、扰乱代码对齐、双进程保护、代码重组、Stolen Bytes、API重定向、SEH与TLS、加密、其余环境检测
2 分类介绍
先对图表说明一下,此图内容也就是我总结的所有内容,在此说明,内容只要来源于《加密与解密》第三版和《逆向工程核心原理》和部分论坛知识,我只是梳理整理,并没有班门弄斧之意。
图中上面的黄色部分为注释部分“0 - - 1”表示调试先后的值对比,“2- -50000062h?”中的问号表示50000062这个值是个不肯定值,有可能随环境变化,具体见下图:
终于写完,第一次发帖,写的很差,请你们见谅,我在最后已经贴好原版X-mind可编辑图形,若是读者有不太清楚之处请查看书中具体内容,也能够与我联系,欢迎你们对图表补充、完善并与论坛的朋友分享,也能够联系我更新,最后谢谢你们能看完,但愿能和你们共同进步!
PNG图片在线连接:http://bbs.pediy.com/attachment.php?attachmentid=106276&stc=1&d=1472003613
x-mind图片在线连接:http://bbs.pediy.com/attachment.php?attachmentid=106275&stc=1&d=1472003613
网盘连接:https://yunpan.cn/cM3LSvWN5QPYG 访问密码 349dphp