PEB1 디버깅 탐지 방법 틀린 부분이 있다면 언제든지 댓글 남겨주세요! TEB / PEB를 통해 디버깅 탐지 1. PEB의 BeingDebugged Flag 확인 (IsDebuggerPresent API로 플래그 값 확인 가능 or PEB+0x02값 확인) 디버거가 동작중인 경우 1의 값을 가짐 - 우회: 플래그 값 변경, IsDebuggerPresent API 후킹 및 리턴값 0으로 변경 2. Heap메모리 영역의 특성 이용 (Heap메모리 영역에 접근해 디버깅시의 heap 특성 이용) Heap메모리 영역는 사용되지 않는 부분을 0xFEEEFEEE 또는 0xABABABAB 값으로 채우는 특징을 가짐 따라서 heap메모리 영역을 도는 if을 생성하여 0xFEEEFEEE 또는 0xABABABAB값을 가지면 디버깅 중임을 알 수 있.. 2021. 10. 15. 이전 1 다음 728x90 반응형
