IsDebuggerPresent
.NET 응용 프로그램이 점차로 늘어가는 요즘 시기에, IsDebuggerPresent를 이야기한다는 것이 ^^ 이상하군요.
Native 응용 프로그램에서 IsDebuggerPresent API를 사용하는 경우는 아마도 Debugger를 통한 로직 검사를 막기 위해서일 것입니다. 하지만, 이 API를 호출한다고 해서 100% 막을 수는 없습니다.
John Robbins가 그의 책 "Debugging Applications ..."에서 이에 대해 짚어 놨지요. 간단하게 IsDebuggerPresent 함수가 0을 반환하도록 역공학 작업을 하면 된다는... 내용.
다음의 토픽은, 어려운 역공학까지 갈 것도 없이 간단하게 WinDBG에서 IsDebuggerPresent를 무력화시키는 방법을 소개하고 있습니다.
[Windbg Script] Disabling IsDebuggerPresent()
; https://learn.microsoft.com/en-us/archive/blogs/debuggingtoolbox/windbg-script-disabling-isdebuggerpresent
이 때문에, John Robbins는 다음과 같은 inline 어셈블리 코드를 사용할 것을 그의 책에서 제안하고 있습니다.
BOOL AntiHackIsDebuggerPresent()
{
BOOL bRet = TRUE;
__asm
{
MOV EAX, FS:[00000018H]
MOV EAX, DWORD PTR [EAX+030H]
MOVZX EAX, BYTE PTR [EAX+002H]
MOV bRet, EAX
}
return bRet;
}
참고로, 위의 코드에서는 inline 어셈블리 코드를 사용하고 있는데, "x64" 환경에서는 inline 어셈블리 코드가 지원되지 않으므로, 별도의 ASM 파일을 만들어서 외부 어셈블러로 컴파일 한 다음 링크를 시켜야 합니다. 이를 위해 "MASM for x64"(실행 파일명 ml64.exe)가 필요하며 이는 VS.NET 2005/Orcas를 설치하면 다음의 폴더에 위치해 있습니다.
ml64.exe 실행 파일 위치
VS.NET 2005 - C:\Program Files (x86)\Microsoft Visual Studio 8\VC\bin\amd64
Orcas - C:\Program Files (x86)\Microsoft Visual Studio 9.0\VC\bin\amd64
관련해서는 다음의 도움말을 참조할 수 있습니다.
Microsoft Macro Assembler Reference
MASM for x64 (ml64.exe)
; https://learn.microsoft.com/en-us/cpp/assembler/masm/microsoft-macro-assembler-reference
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]