聊一聊对一个 C# 商业程序的反反调试

前段时间有位朋友在微信上找到我，说他对一个商业的 C# 程序用 WinDbg 附加不上去，每次附加之后那个 C# 程序就自动退出了，问一下到底是怎么回事？是不是哪里搞错了，有经验的朋友应该知道，其实这是 商业程序 的反调试机制捣鬼的，为了保护程序隐私，一般都不希望他人对自己做逆向分析，那能不能破解它的反调试呢？当然是可以的，难易程度就看对方的诚意了。,经过和朋友的技术捣鼓之后，发现还好，对方只是用了 KERNELBASE!IsDebuggerPresent 做的反调试判断，难度不大，这里就不细聊那个程序，我们做一个简单的案例来说下如何反反调试，老规矩，上 WinDbg 说话。,为了方便讲述，先上一个例子。,在没有 WinDbg 的情况下是这样输出的。,,有 WinDbg 的情况下是这样输出的。,,有朋友肯定要怼了，C# 中有一个 Debugger.IsAttached 属性为什么不用，我试了下，这玩意很差劲，检测不到 WinDbg 这种非托管调试器的附加。,其实 IsDebuggerPresent 方法提取的是 PEB 中的 BeingDebugged 字段，这个字段定义在 KernelBase.dll 中，那怎么验证呢? 可以用 !peb 查看进程环境块的地址，然后用 dt 观察即可。,从上面的 BeingDebugged : 0x1 可以看到，当前程序被附加了调试器。,找到 IsDebuggerPresent() 方法的读取来源，这问题就好办了，通常有两种做法。,只要让 IsDebuggerPresent() 方法一直返回 false，那我们就可以成功破解反调试，首先用 x 命令找到 IsDebuggerPresent() 的汇编代码，输出如下：,按照 stdcall 协定， eax 会作为方法的返回值，接下来使用 WinDbg 的 a 命令修改 00007ffb0fe468a0 处的汇编代码，键入完汇编代码之后，按 Enter 即可，输出如下：,,可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码，哈哈，接下来继续 go，截图如下：,,可以看到已成功的反反调试，看到程序很开心，我也挺开心的。,这种做法就是使用 bp + script 拦截，大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值，这也是可以的，当然也是最安全的。,首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。,接下来在 00007ffb0fe468ad 处下一个断点，即位置 KERNELBASE!IsDebuggerPresent + 0xd ，然后使用寄存器修改命令 r 修改 eax 的值，再让程序 gc 即可，脚本代码如下：,,可以看到，此时的程序又是笑哈哈的。,这篇文章无意对抗，只是对一个疑难问题寻求解决方案的探索，大家合理使用。