原理
TrapFlag(陷阱标志位)。这种反调试手段属于异常的范畴,通过设置 eflags 寄存器的值来触发某个异常,当存在调试器时这个异常由调试器接管(不走我们 的异常处理回调函数),但调试器也可以选择不接管这个异常,所以这属于一种低级的反调试手段 🙃。
代码(以单步异常为例)
// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include <iostream>
#include <Windows.h>
#include <intrin.h>
using namespace std;
BOOL isDebugger = TRUE;
// 我们的异常回调处理函数
LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo) {
isDebugger = FALSE;
// 如果这个异常属于单步异常
if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) {
// 因为单步异常属于陷阱异常,中断完成后要回到产生异常的下一条指令(否则会一直产生单步异常陷入死循环)
#ifdef _WIN64
ExceptionInfo->ContextRecord->Rip++;
#else
ExceptionInfo->ContextRecord->Eip++;
#endif
// 忽略异常继续执行
return EXCEPTION_CONTINUE_EXECUTION;
}
// 继续向上一层 seh 查找异常处理方式
return EXCEPTION_CONTINUE_SEARCH;
}
int main()
{
// 注册 veh
PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);
// 读取 EFLAGS 寄存器的值
#ifdef _WIN64
UINT64 eflags = __readeflags();
#else
UINT eflags = __readeflags();
#endif
// 修改 EFLAGES 寄存器的值
eflags |= 0x100;
__writeeflags(eflags);
// 删除 veh
RemoveVectoredExceptionHandler(Handle);
// 判断调试器
if (isDebugger == TRUE) {
cout << "发现调试器!" << endl;
}
else {
cout << "没有调试器" << endl;
}
getchar();
return 0;
}
效果图
vs启动(需要单步执行才能触发检测):
正常启动: