NtQueryInformationProcess2 안티 디버깅 Static 안티 디버깅 분류 Static, Dynamic - Static 기법은 디버깅 시작할 때 한번만 해체를 해주는 기법 - Dynamic 기법은 디버깅을 진행하면서 (해당 Anti기법을) 만날 때마다 해결하는 기법 Static 안티 디버깅의 목적 디버기 프로세스에서 자신이 디버깅 당하는지 여부를 파악하는 기법 만약 디버깅 중이라고 판단되면 일반 실행과는 다른 코드(주로 종료 코드)를 실행하는 것이 핵심입니다. 구현 방법으로는 디버거를 탐지하는 방법, 디버깅 환경을 탐지하는 방법, 디버거를 강제 분리시키는 방법등이 있습니다. 회피 방법은 탐지 코드에서 얻어 오는 정보를 파악하여 아예 그 정보 자체를 변경해버리는 것입니다. PEB 현재 프로세스의 디버깅 여부를 판단하기 위해 PEB(Process Environme.. 2022. 10. 4. NtQueryInformationProcess 디버거를 탐지해내는 기법에 대한 설명입니다. ntdll!NtQueryInformationProcess() API를 이용하면 프로세스의 디버깅 관련 정보를 비롯하여 매우 다양한 정보를 얻을 수 있습니다. NTSTATUS WINAPI NtQueryInformationProcess( __inHANDLE ProcessHandle, __inPROCESSINFOCLASS ProcessInforamtionClass, __outPVOID ProcessInformation, __inULONG ProcessInformationLength, __out_optPULONG ReturnLength ) 두 번재 파라미터 PROCESSINFOCLASS ProcessInformationClass에 원하는 정보형식을 입력한 후 NtQu.. 2022. 9. 29. 이전 1 다음 반응형
