C++ 反调试(ZwSetInformationThread)

最新推荐文章于 2021-04-26 10:59:01 发布
最新推荐文章于 2021-04-26 10:59:01 发布
阅读量2.6k 收藏 7
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/100992320
版权

这个 API 的功能是:如果程序正在被调试,则强制将自己从调试器里分离出来。

代码:

#include "stdafx.h"

#include <iostream>
#include <tchar.h>
#include <Windows.h>
#include <stdio.h>


#pragma region 全局变量 

/*
	ZwSetInformationThread 第二个成员
*/
typedef enum _THREADINFOCLASS {
	ThreadBasicInformation,
	ThreadTimes, 
	ThreadPriority, 
	ThreadBasePriority, 
	ThreadAffinityMask, 
	ThreadImpersonationToken, 
	ThreadDescriptorTableEntry, 
	ThreadEnableAlignmentFaultFixup,
	ThreadEventPair, 
	ThreadQuerySetWin32StartAddress, 
	ThreadZeroTlsCell,
	ThreadPerformanceCount, 
	ThreadAmILastThread, 
	ThreadIdealProcessor, 
	ThreadPriorityBoost, 
	ThreadSetTlsArrayAddress, 
	ThreadIsIoPending, 
	ThreadHideFromDebugger
}THREAD_INFO_CLASS;

#pragma endregion

#pragma region 依赖函数 

/*
	ZwSetInformationThread
*/
typedef NTSTATUS (NTAPI *pZwSetInformationThread)(
	IN HANDLE ThreadHandle,							// 线程对象句柄 
	IN THREAD_INFO_CLASS ThreadInformaitonClass,	// 线程信息类型
	IN PVOID ThreadInformation,						// 线程信息指针
	IN ULONG ThreadInformationLength				// 线程信息大小
);

#pragma endregion

#pragma region 功能函数 
#pragma endregion

int _tmain(int argc, _TCHAR* argv[])
{
	// 获取 ZwSetInformationThread 函数地址
	pZwSetInformationThread ZwSetInformationThread = (pZwSetInformationThread)GetProcAddress(LoadLibrary(L"ntdll.dll"),"ZwSetInformationThread");
	
	// 执行 ZwSetInformationThread 
	ZwSetInformationThread(GetCurrentThread(),ThreadHideFromDebugger,NULL,NULL);

	// 测试 ZwSetInformationThread 的效果
	std::cout << "程序运行到了这里" << std::endl; 

	getchar();
	return 0;
}

效果图:
在 API 执行前下断点程序可以正常断下:
在这里插入图片描述在 API 执行之后下断点无法断下:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ 调试(基于 SEH 的 SetUnhandledExceptionFilter)
墨鱼菜鸡
09-19 210
终于! 终于把静态调试串了一遍,虽然没有包含全部但是也对调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以...
C++ 调试(PEB)
墨鱼菜鸡
09-10 251
PEB 调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 ...
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 517
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
C++ 调试(NtSetInformationThread
LYSM
11-20 3317
先上代码: // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <afx.h> #include <tchar.h> #include <afxwin.h> #include <Windows.h> #include <vector> #inclu...
C++ 调试(NtQueryInformationProcess)
LYSM
09-17 2067
关于 NtQueryInformationProcess 的调试参考这篇文章 没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` )) 首先我们看下之前写的代码(部分): status = NtQueryInformationProcess( GetCurrentProcess(), // 进程句柄 ...
ZwSetInformationThread调试
lwhaaaa的博客
04-26 1605
文章目录0x01 ZwSetInformationThread () 介绍 0x01 ZwSetInformationThread () 介绍 ​ ZwSetInformationThread 等同于 NtSetInformationThread,通过为线程设置 ThreadHideFromDebugger,可以禁止线程产生调试事件。函数原型如下: VOID DisableDebugEvent(VOID) { HINSTANCE hModule; ZW_SET_INFORMATION_TH
ZwSetInformationThreadc++代码
05-06
ZwSetInformationThreadc++代码
Ollydbg 1.1.0 终结版, 具有很强的调试能力
11-13
通常的OD调试某些具有调试能力的加壳的程序的时候,OD容易被发现,导致一打开就会退出/自动关闭.只能望程序兴叹. 类似的加壳类型, safengine licensor, themida winlicense 2.x等都是这样. 现在这个OD经过了一些修改...
易语言调试器脱离
07-21
易语言调试器脱离源码,调试器脱离,获取函数地址,调试器脱钩,ZwSetInformationThread,API_GetModuleHandle,API_GetCurrentThread,API_GetProcAddress
VC++驱动层HOOK系统调用
11-27
例如,使用 ZwSetInformationThread 函数Hook可以改变线程的行为,或者通过 ZwCreateFile Hook 来监控文件操作。 在实际操作中,创建驱动层Hook通常涉及以下步骤: 1. 编写驱动程序:使用VC++的Driver Development ...
C++ 调试 - TLS
LYSM
09-05 642
这个调试的手法有一定的局限性,因为 TLS (线程局部存储)只是优先于 main 函数运行而已,并不是专门的调试,所以 —— 这种调试只能放置 OD ~ 打开,而不能防止 OD ~ 附加。 上代码: // 指定一个 "/INCLUDE:__tls_used" 连接选项 #pragma comment(linker, "/INCLUDE:__tls_used") VOID NTAPI TLS...
C/C++ 程序调试的方法
CSDN
08-18 5981
C/C++ 要实现程序调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测调试,MapFileAndCheckSum,等都可实现调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
C/C++ 调试与绕过手法
CSDN
09-13 5467
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的调试基础的实现原理以及如何过掉这些调试手段,从而让我们能够继续分析恶意代码。
bouml 逆向分析c++_调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 335
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
C++汇编调试经验总结
coolmoon的专栏
11-17 796
汇编在万不得已的时候是不用不上的,因为大多数情况都可以通过调试源代码和打log完成。但是在一些比较极端的情况,比如第三方的库函数里crash,既没有源代码,也不能打log,在这种情况下,恐怕唯一的办法就是通过阅读汇编代码找到一些线索。   1.基本知识点 C++对象在内存中的布局:   0x0039A470  00 21 40 00  --> vTable 0x0039A474
调试 zwsetinformationthread
无本之木
07-09 4122
结构: typedef enum _THREADINFOCLASS { ThreadBasicInformation, // 0 Y N ThreadTimes, // 1 Y N ThreadPriority, // 2 N Y ThreadBasePriority, // 3 N Y ThreadAffinityMask, // 4 N Y ThreadImpersonation
我的调试记录
王嘟嘟的博客
03-26 554
一个调试的出现地方。 说明 demo 壳类型 无 出现地方
调试技术
做一个快乐学习者
05-18 1177
#include <windows.h> int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { HMODULE hModule = GetModuleHandleW(L"ntdll.dll"); if (!hM...
【翻译】Windows 调试参考翻译
lwglucky的专栏
03-24 2139
[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的调试技术.调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值