作者:selph
从一道Re题学习12种反调试反虚拟技术
题目:AntiDebuggingEmporium
来源:INTENT CTF 2022 Re
这个题目很有意思,里面出现了总共12个反调试反虚拟机的操作,本文内容分两部分,前部分是题解,后部分是这12个反调试反虚拟机手法分析
题解
程序逻辑分析
文件信息:是个64位的Windows控制台程序,VS2022编译的
主函数:
可以看到,逻辑很简单,
1.首先是调用一个函数等待一个对象执行完成
2.然后提示输入flag,
3.对一个数组的值进行判断,如果所有的值都是0,则处理输入字符串输出flag
这里去看看这个数组的值来自哪里:
通过交叉引用,发现这个数组在多个地方被赋值,基本上均在StartAddress这个函数里
经分析,这里的这个数组保存的就是检测虚拟机和调试器的情况,检测到了则会有值被赋值为1:
这个函数首先从当前文件的资源里读取了二进制数据,保存起来,然后进行了累计12个反虚拟机和反调试的函数,这部分内容我们在后文进行详细分析
随便点开一个:
可以看到,这里对一个数组的某个位置进行赋值了,这个赋值后面会用到
现在看一下StartAddress这个函数是在什么时候被调用的:
通过交叉引用可以看到,在TLS回调函数中调用,TLS回调函数会在主函数执行前先执行,这里的hHandle就是主函数里等待的对象
也就是说,这个程序会先进行反调试反虚拟机的操作,然后检测完之后,获取用户输入,进行处理
接下来看用户输入是被如何处理的:
这里首先是用资源二进制数据和一个数组的对应值进行相加(这个数组的值就是反调试函数里检测成功后赋值的)
然后进行校验,校验是通过异或进行的,这里用到一个哈希值,这个哈希值是对资源数据进行校验得到的,不去修改资源,则这里是固定值,所以可以直接动态调试得到这个值,然后异或用户输入,结果是资源数据计算后的值
逻辑理清楚了,现在要做的事情就是:
1.拿到资源二进制数据
2.拿到反调试数组
3.拿到哈希值
4.计算flag
拿到资源数据
直接从die中就能得到:
拿到反调试数组和哈希值
把程序在物理机上跑起来,让程序卡在scanf里,这个时候调试器和虚拟机的检测已经结束了,反调试数组应该也计算好了
这个时候直接调试器附加,查看数组的地址:14000DBE0
拿到64字节的数据
哈希值也是保存在全局变量里的,可以直接拿到地址000000014000DB88,去查看即可:
计算flag
该有的都有了,写代码生成flag即可:
// antidebuggingemporium.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include
#include
#include
unsigned char RescourceData[68] = {
0x72, 0x6C, 0xCA, 0x03, 0x75, 0x76, 0xE5, 0x00, 0x00, 0x43, 0x00, 0x00, 0x55, 0x16, 0xEA, 0x77,
0x0B, 0x4C, 0xC1, 0x77, 0x48, 0x7D, 0x00, 0x00, 0x00, 0x7D, 0x00, 0x00, 0x00, 0x5B, 0xC1, 0x31,
0x08, 0x43, 0xEE, 0x76, 0x55, 0x7D, 0xAF, 0x28, 0x64, 0x15, 0xF6, 0x75, 0x64, 0x00, 0x00, 0x00,
0x64, 0x00, 0x00, 0x00, 0x52, 0x4C, 0xED, 0x71, 0x64, 0x00, 0x00, 0x00, 0x00, 0x00, 0xEA, 0x3F,
0x46, 0x22, 0x3F, 0x46
};
unsigned char antiDbgNum[68] = {
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x77, 0x56, 0x00, 0xF9, 0x77, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0xA9, 0x2E, 0x08, 0x00, 0xAE, 0x28, 0x57, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0xAA, 0x34,
0x00, 0x16, 0xF9, 0x27, 0x00, 0x00, 0x00, 0x00, 0x00, 0x50, 0xAD, 0x27, 0x57, 0x13, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00
};
unsigned char flag[68] = { 0 };
unsigned int hashsum = 0x469E223B;
int main()
{
for (int i = 0; i < 68; ++i)
{
RescourceData[i] += antiDbgNum[i];
}
for (int j = 0; j < 68; j +=4)
{
*(DWORD*)&flag[j] = (hashsum ^ *(DWORD*)&RescourceData[j]);// 00000000469E223B
}
printf("%s", flag);
}
// INTENT{1mag1n4t10n_1s_7h3_0nly_w3ap0n_1n_7h3_w4r_4gains7_r3al1ty}
反调试反虚拟机手法分析
这里依次分析那12个反调试反虚拟机的函数
0x0-反虚拟机-检测CPU核心数
这里通过GetSystemInfo API获取系统信息,这里判断系统的处理器核心数量,现在的用户电脑CPU核心都是4核往上的,一般只有在虚拟机里可能会遇到只分配了1核的情况
0x1-反调试器-检测PEB标志位1
看到这个+2偏移就很容易想到PEB里的BeingDebugged标志位
不过这里是使用ZwQueryInformationProcess获取PEB的:
0x2-反调试器-检测PEB标志位2
这个写的更直接,这个NtCurrentPeb()本质上就是从gs[0x60]处取值,得到的就是peb地址,这里检测的依然是BeingDebugged标志位
0x3-反调试器-检测PEB标志位3
这里使用了PEB的另一个标志位NtGlobalFlag,位置是偏移0xBC的地方,这里IDA的F5显示有问题,在反汇编里可以到是:add rax, 0BCh
0x4-反调试器-检测PEB标志位4
通过API的方式检测PEB偏移2位置的BeingDebugged的值
0x5-反虚拟机-cpuid 1
cpuid指令,通过rax传递功能号,将返回值保存在eax,ebx,ecx,edx里
当功能号是1的时候,ecx的最高位表示当前是否在虚拟机里
0x6-反虚拟机-cpuid 0x40000000
当功能号是0x40000000时,rbx rcx rdx里返回的是一个cpu名称
然后接下来检测是否是常见的虚拟机的cpu名称
0x7-反虚拟机-cpuid 0
功能号是0时候,是另一种显示cpu相关信息的方法,依然是检测是否出现虚拟机常见字符
0x8-反调试器-rdtsc
通过rdtsc指令获取时间,当两次获取时间间隔过大,可以认为有调试器干扰了程序的正常执行
0x9-反调试器-窗口检测
检测是否存在调试器的窗口,如果存在,则认为有调试行为
0xA-反调试器-异常处理
这里使用SetUnhandledExceptionFilter API设置无法处理的异常的处理函数
通常情况下,当异常无法处理的时候会进入该函数去处理,但是有调试器存在,则会直接由调试器接管,不进入该函数
处理的内容是:
效果是跳过某些指令往下执行:
这里跳过了这个jmp,以至于下面的0x57能正常赋值到数组里
0xB-反虚拟机-设备检测
这里通过API:SetupDiGetClassDevsExW 获取设备集
然后通过API:SetupDiEnumDeviceInfo 枚举设备
使用API:SetupDiGetDeviceRegistryPropertyW 对每一个设备获取其属性
对获取到的信息,去判断是否包含这几个虚拟机相关的特征字符串,来判断是否位于虚拟机内部 ·法人gt03\=[]
