26种对付反调试的方法

Trap Flag（陷阱标识）位于EFLAGS寄存器内，假如TF配置为1，CPU将在每个指令执行后发生INT 01h或单步非常(single-step exception)。以下就是基于TF配置和非常挪用搜查的反调试：

BOOL isDebugged = TRUE; 
__try 
{ 
    __asm 
    { 
        pushfd 
        or dword ptr[esp], 0x100 // set the Trap Flag  
        popfd                    // Load the value into EFLAGS register 
        nop 
    } 
} 
__except (EXCEPTION_EXECUTE_HANDLER) 
{ 
    // If an exception has been raised – debugger is not present 
    isDebugged = FALSE; 
} 
if (isDebugged) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
} 

这里TF故意配置为天生非常。假如正在调试历程，则非常将被调试器捕捉。

怎样避开陷阱标识搜查

为了在调试进程中避开TF标识搜查，应该将pushfd指令转达给单步非常，但要跳过它，将断点置后，继承执行措施。断点后，跟踪可以继承。

CheckRemoteDebuggerPresent和NtQueryInformationProcess

与IsDebuggerPresent函数差异，CheckRemoteDebuggerPresent会搜查一个历程是否被另一个同步历程调试。下图就是一个基于CheckRemoteDebuggerPresent的反调试技能：

int main(int argc, char *argv[]) 
{ 
    BOOL isDebuggerPresent = FALSE; 
    if (CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebuggerPresent )) 
    { 
        if (isDebuggerPresent ) 
        { 
            std::cout << "Stop debugging program!" << std::endl; 
            exit(-1); 
        } 
    } 
    return 0; 
} 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!