26种对付反调试的方法

发布时间：2019-03-22 03:36:50 所属栏目：建站来源：luochicun

导读：今朝首要有3种说明软件的要领： 1.数据互换说明，研究职员行使数据包嗅探器材来说明收集数据互换。 2.对软件的二进制代码举办反汇编，然后以汇编说话列出。 3.字节码解码或二进制解码，然后以高级编程说话从头建设源代码。本文针对的是Windows操纵体系中

链中的最后一部门是体系分派的默认处理赏罚措施。假如早年没有非常的处理赏罚措施，则体系处理赏罚措施将转到注册表以获取

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAeDebug

按照AeDebug密钥值，应用措施将被终止或节制被传送到调试器。调试器路径应在调试器REG_SZ中指示。

在建设新历程时，体系会向其添加首要SEH Frame。主SEH Frame的处理赏罚措施也由体系界说。首要的SEH Frame自己险些位于最初为历程分派的仓库内存中。 SEH处理赏罚函数署名如下所示：

typedef EXCEPTION_DISPOSITION (*PEXCEPTION_ROUTINE) ( 
    __in struct _EXCEPTION_RECORD *ExceptionRecord, 
    __in PVOID EstablisherFrame, 
    __inout struct _CONTEXT *ContextRecord, 
    __inout PVOID DispatcherContext 
    );

假如正在调试应用措施，在int 3h间断天生后，节制将被调试器拦截。不然，，节制将被转移

到SEH处理赏罚措施。以下代码就是基于SEH Frame的反调试掩护：

BOOL g_isDebuggerPresent = TRUE; 
EXCEPTION_DISPOSITION ExceptionRoutine( 
    PEXCEPTION_RECORD ExceptionRecord, 
    PVOID             EstablisherFrame, 
    PCONTEXT          ContextRecord, 
    PVOID             DispatcherContext) 
{ 
    g_isDebuggerPresent = FALSE; 
    ContextRecord->Eip += 1; 
    return ExceptionContinueExecution; 
} 
int main() 
{ 
    __asm 
    { 
        // set SEH handler 
        push ExceptionRoutine 
        push dword ptr fs:[0] 
        mov  dword ptr fs:[0], esp 
        // generate interrupt 
        int  3h 
        // return original SEH handler 
        mov  eax, [esp] 
        mov  dword ptr fs:[0], eax 
        add  esp, 8 
    } 
    if (g_isDebuggerPresent) 
    { 
        std::cout << "Stop debugging program!" << std::endl; 
        exit(-1); 
    } 
    return 0 
}

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

25/35

首页

尾页

SEO排名难做的四大原因	在保持网站优化的同时
网站SEO优化的几个技巧	网站原创内容怎么写？