聊一聊对一个 C# 商业程序的反反调试 _生活百科

一：背景1.讲故事前段时间有位朋友在微信上找到我，说他对一个商业的 C# 程序用 WinDbg 附加不上去，每次附加之后那个 C# 程序就自动退出了，问一下到底是怎么回事？是不是哪里搞错了，有经验的朋友应该知道，其实这是 商业程序 的反调试机制捣鬼的，为了保护程序隐私，一般都不希望他人对自己做逆向分析，那能不能破解它的反调试呢？当然是可以的，难易程度就看对方的诚意了。
经过和朋友的技术捣鼓之后，发现还好，对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断，难度不大，这里就不细聊那个程序，我们做一个简单的案例来说下如何反反调试，老规矩，上 WinDbg 说话。
二：WinDbg 分析1. 案例演示为了方便讲述，先上一个例子。
internal class Program{[DllImport("kernelbase.dll", SetLastError = true)]static extern bool IsDebuggerPresent();static void Main(string[] args){Console.ReadLine();var isAttached = IsDebuggerPresent();if (isAttached){Console.WriteLine("/(ㄒoㄒ)/~~ 小心，我被附加了调试器！");}else{Console.WriteLine("O(∩_∩)O 程序很安全！");}Console.ReadLine();}}在没有 WinDbg 的情况下是这样输出的。

文章插图
有 WinDbg 的情况下是这样输出的。

文章插图
有朋友肯定要怼了，C# 中有一个 Debugger.IsAttached 属性为什么不用，我试了下，这玩意很差劲，检测不到 WinDbg 这种非托管调试器的附加。
2. 简述 IsDebuggerPresent 方法其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段，这个字段定义在 KernelBase.dll 中，那怎么验证呢? 可以用 !peb 查看进程环境块的地址，然后用 dt 观察即可。

0:001> !pebPEB at 000000000035b000InheritedAddressSpace:NoReadImageFileExecOptions: NoBeingDebugged:YesImageBaseAddress:00007ff719030000NtGlobalFlag:4000NtGlobalFlag2:0Ldr00007ffb1259b4c0...0:001> dt ntdll!_PEB 000000000035b000+0x000 InheritedAddressSpace : 0 ''+0x001 ReadImageFileExecOptions : 0 ''+0x002 BeingDebugged: 0x1 ''+0x003 BitField: 0x4 ''+0x003 ImageUsesLargePages : 0y0+0x003 IsProtectedProcess : 0y0+0x003 IsImageDynamicallyRelocated : 0y1+0x003 SkipPatchingUser32Forwarders : 0y0...

从上面的 BeingDebugged: 0x1 可以看到，当前程序被附加了调试器。
3. 反反调试思路找到 IsDebuggerPresent() 方法的读取来源，这问题就好办了，通常有两种做法。

修改 IsDebuggerPresent() 方法的反汇编代码

只要让 IsDebuggerPresent() 方法一直返回 false ，那我们就可以成功破解反调试，首先用 x 命令找到 IsDebuggerPresent() 的汇编代码，输出如下：

0:007> x KernelBase!IsDebuggerPresent00007ffb`0fe468a0 KERNELBASE!IsDebuggerPresent (IsDebuggerPresent)0:007> u 00007ffb`0fe468a0KERNELBASE!IsDebuggerPresent:00007ffb`0fe468a0 65488b042560000000 movrax,qword ptr gs:[60h]00007ffb`0fe468a9 0fb64002movzxeax,byte ptr [rax+2]00007ffb`0fe468ad c3ret00007ffb`0fe468ae ccint300007ffb`0fe468af ccint300007ffb`0fe468b0 ccint300007ffb`0fe468b1 ccint300007ffb`0fe468b2 ccint3

按照 stdcall 协定，eax 会作为方法的返回值，接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码，键入完汇编代码之后，按 Enter 即可，输出如下：
【聊一聊对一个 C# 商业程序的反反调试】

0:007> a 00007ffb`0fe468a000007ffb`0fe468a0 mov eax , 000007ffb`0fe468a5 ret00007ffb`0fe468a6 0:007> u 00007ffb`0fe468a0KERNELBASE!IsDebuggerPresent:00007ffb`0fe468a0 b800000000moveax,000007ffb`0fe468a5 c3ret00007ffb`0fe468a6 0000addbyte ptr [rax],al00007ffb`0fe468a8 000faddbyte ptr [rdi],cl00007ffb`0fe468aa b640movdh,40h00007ffb`0fe468ac 02c3addal,bl00007ffb`0fe468ae ccint300007ffb`0fe468af ccint3