点击(此处)折叠或打开

1. //anti-debug1.s
   
2. .global _start
   
3. _start:
   
4.         jmp label+1;
   
5. label:
   
6.         .byte 0x90
   
7.         mov $0x1, %eax

编译方法：gcc anti-debug1.s -c -o anti-debug1.o && ld anti-debug1.o -o anti-debug1。这样定义了一个垃圾指令0x90，它在x86架构的汇编里代表nop，只占一个字节。这段代码正好跳到nop后面，所以这段代码是没有问题的。objdump -d anti-debug1输出如下：
现在我们把0x90改成一个多字节的指令0xe9（0xe9是jmp指令的一个字节）代码如下：
然后编译，反汇编代码如下：
这次成功的骗过了objdump，看上去是跳到了一条指令的中间位置。但是这种方法对于调试工具(如:gdb)是没作用的。
解决方法：
   解决这个anti-debug的方法比较简单，只要用二进制编辑工具把刚才的垃圾指令(0xe9)改成0x90或者其他的单字节指令然后用objdump反汇编就可以了。但有的程序会实时的检测自己的可执行文件是否被修改，如果被修改了就会做相应的处理，所以比较好的办法是用一些支持交互的反汇编工具，例如ida之类的。

方法二：实时计算跳转指令
   这种方法实时的计算跳转的目的地址，当前指令的地址是存放在eip寄存器里的，只要我们修改这个寄存器的值就能改变指令的执行顺序。直接取eip的值似乎不太可能，所以要使用一对组合call+pop，call会把eip的值压入栈，然后用pop把它取出来就可以了。
可以在location_1和location_2加入其他代码，但是要把9改成相应的值。然后反汇编代码如下：
这样从反汇编代码似乎完全看不出来代码的执行顺序了。
解决方法：
   这个方法也并不完美，只不过是难度稍微加大了一点把jmp指令隐藏起来了。只要把垃圾指令去掉还是很好分析的，不再详解了，自己解决。

方法三：检查int 3指令
   调试工具断点的原理是在相应的地方加int 3指令。int 3对应的二进制是0xcc，可以根据某个地方的指令是不是0xcc来判断程序是否被调试。
如果在foo函数上设置断点则会导致函数进入if语句打印BREAKPOINT，直接执行是不会有问题的。
这个gdb在foo上设置断点然后运行的结果？？为什么程序正常退出了呢。把foo函数反汇编出来看一下
原来是gdb做了修改并没有把断点设置到函数的开始，而是往下走了几个字节。这种方法对一些其他的调试工具是管用的。
解决方法：
    这个似乎gdb已经给我们例子，只要调试的时候搜一下程序看看是不是有cmp指令比较某个地址的值是不是0xcc，如果有就不要在这个地方加断点了，移动几个字节就可以了，或者调试的时候在它进行比较的地方把0xcc改成其他值。

方法四：用ptrace检查是不是被调试

点击(此处)折叠或打开

1. #include <stdio.h>
   
2. 
   
3. int main ()
   
4. {
   
5.         if (ptrace (PTRACE_TRACEME, 0, 1, 0) < 0)
   
6.         {
   
7.                 printf ("DEBUGGING... Bye\n");
   
8.                 return 1;
   
9.         }
   
10.         printf ("Hello\n");
    
11.         return 0;
    
12. }

一个进程只能同时被一个进程调试，这个程序如果正在被调试那么它调用了ptrace(PTRACE_TRACEME)的时候就会调用失败。
解决方法：
   调试的只要在if比较的地方修改一下返回值即可。

总结一下：
    以上这几种anti-debug的方法都比较简单，只要稍微动一下手脚就可以解决掉。任何anti-debug方法都不是完美的，只不过是会增加一点debug成本而已。