26种对付反调试的方法

从Windows XP开始，研究职员就为调试进程建设了调试工具。以下就是搜查当前历程调试工具的案例：

status = NtQueryInformationProcess( 
            GetCurrentProcess(), 
            ProcessDebugObjectHandle, 
            &hProcessDebugObject, 
            sizeof(HANDLE), 
            NULL); 
if (0x00000000 == status && NULL != hProcessDebugObject) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
} 

假若有调试工具，则正在调试该历程。

ProcessDebugFlags

当搜查该标识时，它会返回到EPROCESS内核布局的NoDebugInherit位的反转值。假如NtQueryInformationProcess函数的返回值为0，则正在调试历程。以下就是一个这样的反调试搜查的例子：

status = NtQueryInformationProcess( 
    GetCurrentProcess(), 
    ProcessDebugObjectHandle, 
    &debugFlags, 
    sizeof(ULONG), 
    NULL); 
if (0x00000000 == status && NULL != debugFlags) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
}    

ProcessBasicInformation

当行使ProcessBasicInformation标识挪用NtQueryInformationProcess函数时，会返回PROCESS_BASIC_INFORMATION布局：

typedef struct _PROCESS_BASIC_INFORMATION { 
    NTSTATUS ExitStatus; 
    PVOID PebBaseAddress; 
    ULONG_PTR AffinityMask; 
    KPRIORITY BasePriority; 
    HANDLE UniqueProcessId; 
    HANDLE InheritedFromUniqueProcessId; 
} PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!