我目前正在学习使用恶意软件来防止调试的不同技术,并且遇到了一个我似乎无法真正理解的问题。我目前正在尝试找出并调试的这种恶意软件使用了某种反调试技术,该技术不允许我一开始就附加调试器。我尝试使用Scylla-hide之类的东西,也尝试手动插入并挂接常见的反调试API调用以查看发生了什么,但到目前为止还算运气。我还尝试了WinDbg,希望它能给我一些错误信息,并且可以解决此问题:WinDbg output when trying to debug program
因此,这让我想到了它正在做一些事情来阻止启动线程,这就是导致任何调试器都无法挂接的原因。我还尝试使用典型的LoadLibrary CreateRemoteThreadEx技术注入DLL,似乎它也不允许我这样创建线程。我已经尽可能多地研究了反调试,但似乎找不到答案。任何朝着正确方向前进的人都将不胜感激。
我希望能够在用户模式下规避这一点,因为我试图了解它到底在阻止我进行调试,而不是简单地绕过它。这是我第一次问一个问题,对不起,如果很难理解,对不起。
这是Peter Ferrie的实际反调试参考,这是一个了不起的资源:https://anti-reversing.com/Downloads/Anti-Reversing/The_Ultimate_Anti-Reversing_Reference.pdf
它几乎包含所有已知的反调试方法,您可以使用此参考并在列表中打勾每个方法,直到找到已实现的方法为止,该书还应帮助您轻松地减轻每个方法的负担。
根据我们在评论中的交谈,对您问题的答案是,该过程同时钩住了DbgBreakPoint和DbgUiRemoteBreakig。修补它们使您可以附加调试器。