反调试 - WUDFPlatform.dll 导出函数

最新推荐文章于 2024-02-18 10:19:31 发布
最新推荐文章于 2024-02-18 10:19:31 发布
阅读量613 收藏
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107140782
版权

在 C:\Windows\System32 目录下有一个 WUDFPlatform.dll , 这个 dll 中有三个导出函数 —— WudfIsAnyDebuggerPresent,WudfIsKernelDebuggerPresent,WudfIsUserDebuggerPresent:
在这里插入图片描述代码示例:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

typedef INT(NTAPI* pWudfIsAnyDebuggerPresent)();
typedef INT(NTAPI* pWudfIsKernelDebuggerPresent)();
typedef INT(NTAPI* pWudfIsUserDebuggerPresent)();

int main()
{
    HMODULE h_wudf = LoadLibrary(L"WUDFPlatform.dll");
    if (h_wudf == NULL) {
        cout << "WUDFPlatform.dll LoadLibrary failed." << endl;
        goto main_end;
    }

    // WudfIsAnyDebuggerPresent
    pWudfIsAnyDebuggerPresent WudfIsAnyDebuggerPresent = (pWudfIsAnyDebuggerPresent)GetProcAddress(h_wudf, "WudfIsAnyDebuggerPresent");
    if (WudfIsAnyDebuggerPresent == NULL) {
        cout << "WudfIsAnyDebuggerPresent GetProcAddress failed." << endl;
        goto main_end;
    }
    if (WudfIsAnyDebuggerPresent() != 0) {
        cout << "WudfIsAnyDebuggerPresent 发现调试器" << endl;
    }
    
    // WudfIsKernelDebuggerPresent
    pWudfIsKernelDebuggerPresent WudfIsKernelDebuggerPresent = (pWudfIsKernelDebuggerPresent)GetProcAddress(h_wudf, "WudfIsKernelDebuggerPresent");
    if (WudfIsKernelDebuggerPresent == NULL) {
        cout << "WudfIsKernelDebuggerPresent GetProcAddress failed." << endl;
        goto main_end;
    }
    if (WudfIsKernelDebuggerPresent() != 0) {
        cout << "WudfIsKernelDebuggerPresent 发现调试器" << endl;
    }

    // pWudfIsUserDebuggerPresent
    pWudfIsUserDebuggerPresent WudfIsUserDebuggerPresent = (pWudfIsUserDebuggerPresent)GetProcAddress(h_wudf, "WudfIsUserDebuggerPresent");
    if (WudfIsUserDebuggerPresent == NULL) {
        cout << "WudfIsUserDebuggerPresent GetProcAddress failed." << endl;
        goto main_end;
    }
    if (WudfIsUserDebuggerPresent() != 0) {
        cout << "WudfIsUserDebuggerPresent 发现调试器" << endl;
    }

main_end:
    getchar();
    return 0;
}

效果图:
(1)正常情况下运行
在这里插入图片描述

(2)使用 VS 调试运行
在这里插入图片描述

(3) 放在双机调试的虚拟机里运行
在这里插入图片描述

特别注意,该功能只支持 x64程序

在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sigar.jar、sigar-amd64-winnt.dll、sigar-x86-winnt.dll
03-26
java利用sigar-1.6.3.82.jar获取服务器运行时CPU、内存、网络等信息,已使用该jar开发完整项目,压缩包中包含所需的dll文件,以及放置位置,本人64位系统
调试——CheckRemoteDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-21 980
原理:查询进程环境块(PEB)中的IsDebugged标志。 如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 它不仅可以探测系统其他进程是否被调试,通过传递自身进程句柄还可以探测自身是否被调试。 检测函数样例: BOOL CheckDebug() { BOOL ret; CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret); return ret; }
编译调试C#编写的exe软件和dll方法详解
最新发布
一个专注于技术研究创新的程序员
02-18 1121
这里项目只有一个exe,可执行的,选中后确定,项目会调起exe执行,这时候我们正常打断点即可走进断点,如下。3.在WPF中根据界面找到对应的ViewModel,查看编写逻辑。这里有点不方便的是变量监控需要再下方来控制查看,没有VS方便了。首先打开项目,我们这里可以选择dll,也可以选择exe。这个是主界面里面有4个对应界面的控件,找到对应的vm。这边我们是打开了一个WPF写的客户端软件。
windows10 CCID驱动黄色感叹号的问题:Microsoft Usbccid Smartcard Reader (WUDF)
hxl5955的博客
04-10 9837
最近在装其他usb模拟串口时导致之前能用的ccid驱动出问题了,多次重装仍然不行,总是显示黄色感叹号, 后来设备管理器那右键查看错误原因,提示是windows签名错误,于是关掉windows10签名之后重装驱动就正常了。 具体关签名步骤: 1、开始-》按shift键重启; 2、选择疑难解答; 3、选高级选项; 4、选启动设置; 5、选重启; 6、按数字7-禁用驱动强制签名;
微软CCID智能卡读卡器驱动(Microsoft Class Drivers for USB CCID Smart Cards)
迷茫的小莱
09-23 1万+
Microsoft Class Drivers for USB CCID Smart Cards Last updated: September 24, 2012 In this article IntroductionUSB CCID ArchitectureUSB CCID Class Driver DetailsWindows
Windows下调试技术汇总
03-03 1644
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
解决api-ms-win-crt-runtime-l1-1-0.dll 丢失问题 绿色版 工具下载
07-27
提示api-ms-win-crt-runtime-l1-1-0.dll 丢失,安装这个小玩意就可以解决了
tcnative-1.dll 1.2.14 64位
09-14
tcnative-1.dll 1.2.14 64位 tcnative-1.dll 1.2.14 64位tcnative-1.dll 1.2.14 64位tcnative-1.dll 1.2.14 64位tcnative-1.dll 1.2.14 64位tcnative-1.dll 1.2.14 64位tcnative-1.dll 1.2.14 64位tcnative-1.dll ...
WindowsAccessBridge-64.dll 函数说明
11-06
显示JAB中封装的WindowsAccessBridge-64.dll函数内容
api-ms-win-core-path-l1-1-0.dll【说明:Windows动态链接库、DLL、64位】
07-19
api-ms-win-core-path-l1-1-0.dll是Windows操作系统中的一个64位动态链接库(DLL),属于Windows系统文件的一部分。它提供了用于路径管理的系统函数的接口,为程序提供了有效地处理文件和目录路径的能力,从而增强了...
WINDOWS 调试DLL与调用
08-10
WINDOWS 调试DLL与调用
调试调试系列丨跑的比main快的调试
qq_44005305的博客
08-27 103
5.1 选择属性5.2修改运行库,应用6.添加#include、#include7.向链接器声明,要使用TLS8.复制PIMAGE_TLS_CALLBACK里的三个参数9.完成注册TLS函数的回调10.重新生成->运行发现没有运行到main函数11.加断点,再运行发现还是运行不起来.但是直接运行,可以正常打印,正常停止12.试下其他调试器12.1在od里运行:发现不能进入主模块12.2在IDA里打开:Ida会自动停在main函数上,意味着静态调试也发现不了TLS。
调试技术总结(看雪)
eli的博客
12-07 2476
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
调用dll导出函数
如鹿渴慕泉水的专栏
11-09 160
// gpsvctest.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" typedef HANDLE(__stdcall* GetMachineTokenFunc)(); int _tmain(int argc, _TCHAR* argv[]) { HMODULE lib = LoadLibraryW(...
DLL导出函数的两种方式
热门推荐
yushiqiang1688的专栏
01-17 4万+
DLL导出函数的两种方式(dllexport与.def文件)(2009-03-06 11:34:58) 标签:dll 导出函数 两种方式 __declspec dllexport .def 文件 it 分类:编程技术DLL导出函数的声明有两种方式:一种方式是:在函数声明中加上__declspec(dllexport);另外一种方式是:
Export from a DLL Using __declspec(dllexport)
Coder_LCB的博客
04-21 349
You can export data, functions, classes, or class member functions from a DLL by using the __declspec(dllexport) keyword. If you use __declspec(dllexport), you do not need a .DEF file for exports.
详解调试技术
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
unity Assembly-CSharp.dll.mdb更换Assembly-CSharp.dll.pdb
06-08
2. 打开 Unity3D 编辑器,将 Assembly-CSharp.dll.mdb 和 Assembly-CSharp.dll 两个文件从项目中导出到磁盘上的某个目录中。 3. 在 Windows 命令提示符中,使用 pdb2mdb.exe 工具将 .pdb 文件转换成 .mdb 文件,命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值