反调试器技术:如何使用 VB.NET 对调试器隐藏线程?
Anti-debugger technique: How to hide a thread from the debugger using VB.NET?
几天来,我一直在尝试记录自己的反调试技术。
所以我找到了很多不同的方法来实现这一点。在这些技术中,我发现可以从调试器中隐藏 线程,这要归功于 NtSetInformationThread 方法。 我的项目是在VB.NET.
中编写的代码中使用此方法
下面是对我在研究中发现的技术的描述,我觉得解释得很好:
In Windows 2000, a new class of thread information transferred to the
NtSetInformationThread function appeared – ThreadHideFromDebugger.
This was one of the first anti-debugging techniques provided by
Windows in Microsoft's search for how to prevent reverse engineering,
and it's very powerful. If this flag is set for a thread, then that
thread stops sending notifications about debug events
所以我找到了来自这个 site 的来源来实现这一点。
这是他在 C++ 中使用的方法:
typedef enum _THREADINFOCLASS {
ThreadHideFromDebugger=17
} THREADINFOCLASS;
extern "C" ULONG __stdcall NtSetInformationThread(
__in HANDLE ThreadHandle,
__in THREADINFOCLASS ThreadInformationClass,
__in_bcount(ThreadInformationLength) PVOID ThreadInformation,
__in ULONG ThreadInformationLength
);
ULONG main()
{
ULONG Status;
Status=NtSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0);
if(Status)
printf("Error with NtSetInformationThread : 0x%xn", Status);
__asm {int 3}
return 0;
}
所以我尝试用我的 C++ 初学者知识来翻译这段代码(老实说,我对这种语言不太了解)。
这是它给出的内容:
Private Declare Function NtSetInformationThread Lib "Ntdll.dll" (ByVal hThread As Long, ByVal ThreadInformationClass As Long, ByVal ThreadInformation As Long, ByVal ThreadInformationLength As Long) As Long
<DllImport("kernel32.dll")>
Public Shared Function GetCurrentThreadId() As UInteger
End Function
Shared Function HideFromDebugger() As UInteger
Dim Status As UInteger
Status = NtSetInformationThread(GetCurrentThreadId(), 17, Nothing, 0)
If Status <> 0 Then
Console.Write("Error with NtSetInformationThread : 0x{0:x}n", Status)
Debugger.Break()
Return 0
End If
End Function
但是,我觉得我哪里错了。例如,我不明白参数“17”的用途。你能告诉我我的方向是否正确吗?
每个答案对我来说都很有价值:)
您快完成了,但是您当前的代码有两个问题:
首先,您对 NtSetInformationThread
函数的 P/Invoke 声明不太正确,我建议您坚持使用 DllImport
,因为您在互联网是为 VB6 编写的,与 VB.NET.
不兼容
这是更正后的版本:
<DllImport("Ntdll.dll")>
Public Shared Function NtSetInformationThread(ByVal hThread As IntPtr, ByVal ThreadInformationClass As Integer, ByVal ThreadInformation As IntPtr, ByVal ThreadInformationLength As UInteger) As UInteger
End Function
其次,注意 C++ 代码如何使用函数 GetCurrentThread()
和 not GetCurrentThreadId()
。这两者的不同之处在于前者为您提供了一个更像是指向线程的指针的句柄,而后者只是为您提供了分配给该线程的数字 ID。
您需要改用GetCurrentThread
函数:
<DllImport("Kernel32.dll")>
Public Shared Function GetCurrentThread() As IntPtr
End Function
I do not understand what the argument "17" is for.
17
是 ThreadHideFromDebugger
的值,并没有任何特殊的来源或意义。它只是告诉 NtSetInformationThread()
要更改有关线程的哪些信息。
几天来,我一直在尝试记录自己的反调试技术。
所以我找到了很多不同的方法来实现这一点。在这些技术中,我发现可以从调试器中隐藏 线程,这要归功于 NtSetInformationThread 方法。 我的项目是在VB.NET.
中编写的代码中使用此方法下面是对我在研究中发现的技术的描述,我觉得解释得很好:
In Windows 2000, a new class of thread information transferred to the NtSetInformationThread function appeared – ThreadHideFromDebugger. This was one of the first anti-debugging techniques provided by Windows in Microsoft's search for how to prevent reverse engineering, and it's very powerful. If this flag is set for a thread, then that thread stops sending notifications about debug events
所以我找到了来自这个 site 的来源来实现这一点。 这是他在 C++ 中使用的方法:
typedef enum _THREADINFOCLASS {
ThreadHideFromDebugger=17
} THREADINFOCLASS;
extern "C" ULONG __stdcall NtSetInformationThread(
__in HANDLE ThreadHandle,
__in THREADINFOCLASS ThreadInformationClass,
__in_bcount(ThreadInformationLength) PVOID ThreadInformation,
__in ULONG ThreadInformationLength
);
ULONG main()
{
ULONG Status;
Status=NtSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, NULL, 0);
if(Status)
printf("Error with NtSetInformationThread : 0x%xn", Status);
__asm {int 3}
return 0;
}
所以我尝试用我的 C++ 初学者知识来翻译这段代码(老实说,我对这种语言不太了解)。 这是它给出的内容:
Private Declare Function NtSetInformationThread Lib "Ntdll.dll" (ByVal hThread As Long, ByVal ThreadInformationClass As Long, ByVal ThreadInformation As Long, ByVal ThreadInformationLength As Long) As Long
<DllImport("kernel32.dll")>
Public Shared Function GetCurrentThreadId() As UInteger
End Function
Shared Function HideFromDebugger() As UInteger
Dim Status As UInteger
Status = NtSetInformationThread(GetCurrentThreadId(), 17, Nothing, 0)
If Status <> 0 Then
Console.Write("Error with NtSetInformationThread : 0x{0:x}n", Status)
Debugger.Break()
Return 0
End If
End Function
但是,我觉得我哪里错了。例如,我不明白参数“17”的用途。你能告诉我我的方向是否正确吗?
每个答案对我来说都很有价值:)
您快完成了,但是您当前的代码有两个问题:
首先,您对 NtSetInformationThread
函数的 P/Invoke 声明不太正确,我建议您坚持使用 DllImport
,因为您在互联网是为 VB6 编写的,与 VB.NET.
这是更正后的版本:
<DllImport("Ntdll.dll")>
Public Shared Function NtSetInformationThread(ByVal hThread As IntPtr, ByVal ThreadInformationClass As Integer, ByVal ThreadInformation As IntPtr, ByVal ThreadInformationLength As UInteger) As UInteger
End Function
其次,注意 C++ 代码如何使用函数 GetCurrentThread()
和 not GetCurrentThreadId()
。这两者的不同之处在于前者为您提供了一个更像是指向线程的指针的句柄,而后者只是为您提供了分配给该线程的数字 ID。
您需要改用GetCurrentThread
函数:
<DllImport("Kernel32.dll")>
Public Shared Function GetCurrentThread() As IntPtr
End Function
I do not understand what the argument "17" is for.
17
是 ThreadHideFromDebugger
的值,并没有任何特殊的来源或意义。它只是告诉 NtSetInformationThread()
要更改有关线程的哪些信息。