[发明专利]反调试方法、装置、存储介质及电子装置

说明书

本发明公开了一种反调试方法、装置、存储介质及电子装置。该方法包括：在操作系统的第一内核函数中，配置目标进程从内核态返回用户态时所调用的回调函数的函数地址；在内核态返回至用户态的情况下，通过函数地址进入回调函数；在执行回调函数的过程中，在通过目标进程调用第二内核函数，且检测到目标进程附加有调试器的情况下，结束目标进程。本发明能够提高反调试的成功率。

技术领域

本发明涉及计算机领域，具体而言，涉及一种反调试方法、装置、存储介质及电子装置。

背景技术

目前，常用的反调试方法往往是利用inline hook函数，或者利用DbgBreakPoint函数、DbgUiRemoteBreakin函数与DbgUserBreakPoint函数获得调试器的执行时机，用以及时退出调试器附加进程来实现反调试，提高程序的安全性。

在实践中发现，攻击者往往可以利用PCHunter这种现有的Windows系统信息查看工具来感知并摘除inline hook函数，在这种情况下会使得inline hook函数无法获取到调试器的执行时机。又或者，攻击者往往可以自实现调试器的附加流程，从而不必使用操作系统中的DbgBreakPoint函数、DbgUiRemoteBreakin函数与DbgUserBreakPoint函数，在这种情况下会使得DbgBreakPoint函数、DbgUiRemoteBreakin函数与DbgUserBreakPoint函数无法获得调试器的执行时机。可见，当前的反调试方法存在着成功率低的问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种反调试方法、装置、存储介质及电子装置，以至少能够提高反调试的成功率。

根据本发明实施例的一个方面，提供了一种反调试方法，包括：在操作系统的第一内核函数中，配置目标进程从内核态返回用户态时所调用的回调函数的函数地址；在上述内核态返回至上述用户态的情况下，通过上述函数地址进入上述回调函数；在执行上述回调函数的过程中，在通过上述目标进程调用第二内核函数，且检测到上述目标进程附加有调试器的情况下，结束上述目标进程。

根据本发明实施例的另一方面，还提供了一种反调试装置，包括：配置单元，用于在操作系统的第一内核函数中，配置目标进程从内核态返回用户态时所调用的回调函数的函数地址；进入单元，用于在上述内核态返回至上述用户态的情况下，通过上述函数地址进入上述回调函数；结束单元，用于在执行上述回调函数的过程中，在通过上述目标进程调用第二内核函数，且检测到上述目标进程附加有调试器的情况下，结束上述目标进程。

根据本发明实施例的又一方面，还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述反调试方法。

根据本发明实施例的又一方面，还提供了一种电子装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，上述处理器通过计算机程序执行上述的反调试方法。

在本发明实施例中，通过在操作系统的第一内核函数中，配置目标进程从内核态返回用户态时所调用的回调函数的函数地址，使得在从内核态返回用户态的情况下，可以通过函数地址进入回调函数，在执行回调函数的过程中，如果目标进程调用第二内核函数并且检测到目标进程附加有调试器的情况下，可以结束目标进程。在目标进程附加调试器的过程中，能够获取目标进程调用第二内核函数前的执行时机，从而实现反调试。这一过程由于未使用inline hook函数，因而不会被PCHunter这种现有的Windows系统信息查看工具来感知并摘除，并且即使在攻击者自实现调试器的附加流程的情况下，也需要目标进程调用第二内核函数，而本发明实施例可以获取目标进程调用第二内核函数前的执行时机，从而能够实现反调试，进而实现提高反调试成功率。

附图说明