Vous êtes au niveau: Accueil /  Tutoriels /  Tutoriels Reverse Engineering / Contournement des anti-debugs
  • STATISTIQUES
  • Il y a eu un total de 2 membres et 4548 visiteurs sur le site dans les dernières 24h pour un total de 4 550 personnes!


    Membres: 2 450
    Discussions: 3 572
    Messages: 32 822
    Tutoriels: 77
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Newbie Contest
    Crackme: 35, Cryptographie: 49, Hacking: 27, Javascript/Java: 17, Logique: 31, Programmation: 23, Stéganographie: 53
    Challenges
    [EN] This is legal
    Basic: 10, Realistic: 5, Programming: 1, Bonus: 11, SQL: 2, Encryption: 6, Application: 4, User Contributed: 3
    Challenges
    [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [EN] Astalavista
    JavaScript: 1, Exploit: 2, Crypto: 34, CrackIt: 15, Stegano: 8, Programming: 12, Logic: 36, Special: 6, Science: 4, Info...
    Challenges
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [FR] PHP France
    Pour tout savoir sur le PHP, en français. Vous trouverez des tutoriels, des exemples, des astuces, toute la do...
    Hacking
    [FR] NewbieContest
    Nous vous proposons une série de challenges regroupant plusieurs domaines allant de l'exploitation de fail...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Contournement des anti-debugs

Voici quelques petites informations/techniques sur le contournement des anti-debugs. Les exemples/techniques citées sont non exhaustives et orienté Windows.

Commençons avec l'API IsDebuggerPresent() (Réalisé avec OllyDBG 2.01)

Code C :

#include <windows.h>

int main()
{
    if(IsDebuggerPresent())
    {
        MessageBox(0, "Debugged", "Debugged", MB_OK); //Si un debugger est détecté
    }
    else
    {
        MessageBox(0, "Not Debugged", "Not Debugged", MB_OK); //Si aucun debugger n'est détecté
    }
    return 0;
}
 


Chargez simplement le binaire dans OllyDBG puis clique droit "Search for" -> "Name".
Dans la nouvelle fenêtre, vous trouverez "KERNEL32.IsDebbugerPresent", cliquez droit puis "Find Reference".
[Image: 361684Snap2013053120h59m12s004.png]
Vous trouverez un JMP sur la DLL et un CALL, mettez un BP sur le CALL.
Retournez sur la vue CPU puis F9. Notre BP nous arrête sur le CALL. Nous avons droit à un TEST EAX, EAX suivi d'un JNZ.
[Image: 568045Snap2013053120h56m43s001.png]
Remplacez JNZ par JZ.
[Image: 690976Snap2013053120h58m09s002.png]
Pressez F9 et profitez.

Je compléterais dans le temps.
Nouvelle réponse 
04-06-2013, 20h16
Message : #1
Horgh Hors ligne
Membre actif
*



Messages : 197
Sujets : 4
Points: 91
Inscription : Mar 2012
RE: Contournement des anti-debugs
Citation :Remplacez JNZ par JZ.

Oh le réflexe qui pue. J'en connais qui ferait une syncope à voir des choses pareilles :')
http://i.imgur.com/jICjBFI.jpg
04-06-2013, 20h19
Message : #2
qtkt Hors ligne
Newbie
*



Messages : 13
Sujets : 1
Points: 3
Inscription : May 2013
RE: Contournement des anti-debugs
(04-06-2013, 20h16)Horgh a écrit :
Citation :Remplacez JNZ par JZ.

Oh le réflexe qui pue. J'en connais qui ferait une syncope à voir des choses pareilles :')

C'est sympa de critiquer, mais ce ne serais pas mieux d'expliquer la bonne facon de faire ou d'au moins expliquer ce qui ne va pas ?
04-06-2013, 20h34
Message : #3
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Contournement des anti-debugs
@qtkt je pense (je suis pas sûr) que tu fait une inversion de saut, ce qui signifie que tu inverse le comportement du programme à cet endroit, donc si la condition est valide au départ, elle ne l'est plus, ce qui est rarement souhaitable dans les faits.
04-06-2013, 20h36 (Modification du message : 04-06-2013, 20h59 par fr0g.)
Message : #4
fr0g Hors ligne
NTEuNDI2MzcsLTEuNzc4NDg4
****



Messages : 348
Sujets : 22
Points: 56
Inscription : Aug 2011
RE: Contournement des anti-debugs
Je vais suivre avec un trick de base sous linux , même méthode que le post précédant pour bypass)
(avec ptrace)

Code C :

#include <stdio.h>
#include <sys/ptrace.h>

int    main(int ac, char **av)
{
  if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0)
    {
      printf("DEBUG DETECTED\n");
      return (1);
    }
  printf("Hello world !!!\n");
  return (0);
}
 


Ce main desassemblé donne ça :

Code :
0x0804844c <+0>:    push   %ebp
   0x0804844d <+1>:    mov    %esp,%ebp
   0x0804844f <+3>:    and    $0xfffffff0,%esp
   0x08048452 <+6>:    sub    $0x10,%esp
   0x08048455 <+9>:    movl   $0x0,0xc(%esp)
   0x0804845d <+17>:    movl   $0x1,0x8(%esp)
   0x08048465 <+25>:    movl   $0x0,0x4(%esp)
   0x0804846d <+33>:    movl   $0x0,(%esp)
   0x08048474 <+40>:    call   0x8048350 <ptrace@plt>
   0x08048479 <+45>:    test   %eax,%eax
   0x0804847b <+47>:    jns    0x8048490 <main+68>
   0x0804847d <+49>:    movl   $0x8048540,(%esp)
   0x08048484 <+56>:    call   0x8048320 <puts@plt>
   0x08048489 <+61>:    mov    $0x1,%eax
   0x0804848e <+66>:    jmp    0x80484a1 <main+85>
   0x08048490 <+68>:    movl   $0x804854f,(%esp)
   0x08048497 <+75>:    call   0x8048320 <puts@plt>
   0x0804849c <+80>:    mov    $0x0,%eax
   0x080484a1 <+85>:    leave  
   0x080484a2 <+86>:    ret


ce qui nous intéresse c'est :

Code ASM :

call   0x8048350 ; appel de ptrace
test   eax,eax
jns    0x8048490 ; (=> printf hello world)
 


si vous utilisez un programme de debug, (GDB / IDA / ltrace / strace & co) , le registre EAX contiendra -1 après l'appel de ptrace (avec les paramètres utilisés dans le cas présent)

Il suffit de break entre l'appel de ptrace et le saut conditionnel, ou le programme compare la valeur renvoyée par ptrace (contenue dans EAX) à 0 .

on set EAX à 0 , et le programme va prendre le saut pour continuer vers les autres étapes.

(j'ai compile' en 32 bits pour éviter de pourrir le bloc de code avec la taille des adresses Smile )
05-06-2013, 08h43
Message : #5
0pc0deFR
Non-enregistré



 
RE: Contournement des anti-debugs
(04-06-2013, 20h34)InstinctHack a écrit : @qtkt je pense (je suis pas sûr) que tu fait une inversion de saut, ce qui signifie que tu inverse le comportement du programme à cet endroit, donc si la condition est valide au départ, elle ne l'est plus, ce qui est rarement souhaitable dans les faits.

C'est tout à fait ça. C'est une inversion de condition. A savoir qu'un malware ou un outil qui va être reverse et qui possède cette fonction va souvent se terminer si la fonction IsDebuggerPresent se valide. En inversant le comportement le programme ne se termine pas. Les conséquences sont assez limitées. Il faut vérifier le comportement du programme après la fonction et juger par soi même.

Il y a des manières plus jolies pour contourner ça. Le hook par exemple avec un script Olly pour faire en sorte que la fonction renvoie toujours 0. Pour le coup, j'ai préféré présenter une technique simple qui fonctionne avec tous les outils de debug.
05-06-2013, 21h23 (Modification du message : 05-06-2013, 21h23 par supersnail.)
Message : #6
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,617
Sujets : 73
Points: 467
Inscription : Jan 2012
RE: Contournement des anti-debugs
'Fen bref, le plus simple c'est soit de virer l'instruction en la noppant (0x90 deux fois), soit de la remplacer par un "jmp" (0xEB) au lieu de faire de l'inversion de sauts Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
05-06-2013, 23h40
Message : #7
0pc0deFR
Non-enregistré



 
RE: Contournement des anti-debugs
(05-06-2013, 21h23)supersnail a écrit : 'Fen bref, le plus simple c'est soit de virer l'instruction en la noppant (0x90 deux fois), soit de la remplacer par un "jmp" (0xEB) au lieu de faire de l'inversion de sauts Wink

Effectivement Smile
Nouvelle réponse