反调试 - HeapFlags,HeapForceFlags

于 2020-07-04 18:50:29 发布
阅读量811 收藏 5
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107128069
版权

peb 中有一个成员 ProcessHeap,这个成员是一个 指针:
在这里插入图片描述进程 peb 地址可以用以下代码拿到:(拿 ProcessHeap 就再加上 ProcessHeap 在 _PEB 中的偏移)
x64 中 ProcessHeap 在 PEB 的偏移是 0x30.
x86 中 ProcessHeap 在 PEB 的偏移是 0x18.

// x64
ULONG64 ul_peb64 =  __readgsqword(0x60);

// x86
ULONG64 ul_peb86 =  __readgsqword(0x30);

HeapFlags

对于 x64 系统,vista 以上版本的 HeapFlags 位于 *ProcessHeap+ 0x70,剩余低版本的 windows 中的 HeapFlags 位于 *ProcessHeap+ 0x14。

  • 对于 x86 系统 vista 以上版本的 HeapFlags 位于 *ProcessHeap + 0x40,剩余低版本的 windows 中的 HeapFlags 位于 *ProcessHeap + 0x0c。

如果 HeapFlags 的值大于 2 说明程序处于调试状态 👌

代码示例(环境 - win10 x64)

ULONG64 ul_processHeap = (ULONG64)(__readgsqword(0x60) + 0x30);
ULONG64 ul_heapFlags = (ULONG64)(*ul_processHeap + 0x70);
if(*ul_heapFlags > 2){
	cout << "发现调试器" << endl;
}
else{
	cout << "没有调试器" << endl;
}

HeapForceFlags

对于 x64 系统,vista 以上版本的 HeapForceFlags位于 *ProcessHeap+ 0x74,剩余低版本的 windows 中的 HeapForceFlags 位于 *ProcessHeap+ 0x18。

对于 x86 系统 vista 以上版本的 HeapForceFlags 位于 *ProcessHeap + 0x44,剩余低版本的 windows 中的 HeapForceFlags 位于 *ProcessHeap + 0x10。

如果 HeapForceFlags 的值大于 0 则说明处于调试状态。

代码示例(环境 - win10 x64)

ULONG64 ul_processHeap = (ULONG64)(__readgsqword(0x60) + 0x30);
ULONG64 ul_heapForceFlags = (ULONG64)(*ul_processHeap + 0x74);
if(*ul_heapForceFlags > 0){
	cout << "发现调试器" << endl;
}
else{
	cout << "没有调试器" << endl;
}
(-: LYSM :-)
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值