反调试 - 父进程是否为 explorer.exe

最新推荐文章于 2022-07-30 15:49:01 发布
最新推荐文章于 2022-07-30 15:49:01 发布
阅读量816 收藏 1
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107316606
版权

原理

正常情况下,我们自己的进程的父进程是 explorer.exe ,当然也有很多进程的父进程不是 explorer.exe(比如服务进程)但这不是我们考虑的范畴。如果程序在调试则父进程是就是调试器进程。

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

typedef NTSTATUS(WINAPI* pNtQueryInformationProcess)(IN  HANDLE, IN  UINT, OUT PVOID, IN ULONG, OUT PULONG);
typedef struct _ALK_PROCESS_BASIC_INFORMATION {
    PVOID Reserved1;                             // 进程终止状态
    void* PebBaseAddress;                    // peb 地址
    PVOID Reserved2[2];                        // 进程关联掩码,优先级
    ULONG_PTR UniqueProcessId;       // 进程 ID
    ULONG_PTR ParentProcessId;        // 父进程 ID 
} ALK_PROCESS_BASIC_INFORMATION;

int main()
{
    // 获取 explorer.exe 进程 ID
    DWORD d_expID = 0;
    GetWindowThreadProcessId(
        GetShellWindow(),                       // program manager 窗口句柄
        &d_expID                                       // 窗口对应的进程 ID 
    );
    
    // 获取自身父进程 ID
    pNtQueryInformationProcess NtQueryInformationProcess = (pNtQueryInformationProcess)GetProcAddress(LoadLibrary(L"ntdll.dll"), "ZwQueryInformationProcess");
    if (NtQueryInformationProcess == NULL) {
        goto main_end;
    }
    ALK_PROCESS_BASIC_INFORMATION pbi;
    SecureZeroMemory(&pbi, sizeof(ALK_PROCESS_BASIC_INFORMATION));
    if (NtQueryInformationProcess(GetCurrentProcess(), 0, (PVOID)&pbi, sizeof(ALK_PROCESS_BASIC_INFORMATION), 0) != 0) {
        goto main_end;
    }
    
    // 判断调试器
    if (pbi.ParentProcessId != d_expID) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }


main_end:
    getchar();
    return 0;
}

效果图

vs调试:
在这里插入图片描述

正常运行:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
检查进程是不是explorer
x
05-12 211
#include <iostream> #include <stdio.h> #include <stdlib.h> #include <Windows.h> #include <process.h> #include <Winternl.h> #include <Tlhelp32.h.> #include <tchar.h> using std::cout; using std::endl; DWO...
判断自己的进程是不是由explorer启动
冷风
01-20 5056
直接把代码放上。 #include "stdafx.h" #include #include #include DWORD get_parent_processid(DWORD pid)//获取指定进程进程ID { DWORD ParentProcessID=-1; PROCESSENTRY32 pe; HANDLE hkz; HMODULE hModule = LoadL
explorer进程
09-30 831
explore的进程
CTF-wiki bin.exe 调试练习
playmaker的博客
09-29 961
CTF-wiki bin.exe 调试练习 主函数大致逻辑如下: int __cdecl main(int argc, const char **argv, const char **envp) { FILE *v3; // eax HANDLE v4; // eax int v11; // [esp+C4h] [ebp-A8h] DWORD v12; // [esp+D4h] ...
逆向入门-调试
AppWhite_Star的博客
07-30 2214
逆向基础-调试专题
各种调试技术原理与实例VC版.pdf
12-15
- **示例**:通过调用`GetParent`函数获取当前进程进程句柄,再使用`GetModuleFileName`函数获取进程的路径,从而判断是否为`explorer.exe`。 - **注意事项**:这种方法可能会受到调试器模拟的影响。 4. **...
bouml 逆向分析c++_调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 373
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
各种调试技术原理与实例 VC版[学习CK].
11-10
3. 进程是否Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: ...
各种调试技术原理与实例 VC版
10-05
3. 进程是否Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 7 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 10 8. DebugPort: ...
取系统所有进程进程模块-易语言
06-13
取系统所有进程进程模块
易语言检测进程名源码-易语言
06-13
易语言检测进程名源码
易语言检测进程
07-22
易语言检测进程名源码,检测进程名,ZwQueryInformationProcess,OpenProcess,CloseHandle,GetProcessImageFileNameA
调试】去除各种调试
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
VB编译研究[转]
代码改变世界的专栏
10-22 4226
1.检测程序是否被各类debug程式所加载研究! VB code Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long Private Declare Function Process32
伪造进程的另一种方式
Sven的忘却日记
10-31 1737
创建任意进程进程explorer.exe #include "stdafx.h" #include <windows.h> #include <shlwapi.h> #include <shlobj.h> #pragma comment(lib, "shlwapi.lib") // use the shell view for the desktop...
180316 逆向-调试技术(9)防止附加和进程检测
whklhhhh的博客
04-03 2130
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
检查进程是否调试
10-08 847
转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。 ...
bat批处理查看explorer.exe进程的启动打开时间
最新发布
10-06
要查看explorer.exe进程的启动打开时间,可以使用bat批处理命令来实现。下面是一个示例的批处理代码: @echo off setlocal EnableDelayedExpansion REM 获取explorer.exe进程的启动时间 for /f "tokens=2 delims=," %%a in ('tasklist /fo csv ^| find "explorer.exe"') do ( set "process=%%~a" for /f "tokens=1,2 delims= " %%b in ('tasklist /v ^| find "!process!"') do ( set "startTime=%%b %%c" ) ) REM 输出explorer.exe进程的启动时间 echo explorer.exe的启动时间为:%startTime% endlocal 在这个代码中,首先通过tasklist命令获取到explorer.exe进程ID,然后使用任务列表命令(tasklist /v)来找到该进程的启动时间。使用for循环来逐行读取任务列表的输出结果,并通过find命令查找包含explorer.exe进程ID的行。通过设置变量startTime来保存找到的启动时间。最后,通过echo命令输出explorer.exe进程的启动时间。 需要注意的是,该方法只能获取到当前系统时间内的explorer.exe进程启动时间,如果explorer.exe进程不再运行或者已经重启,则无法获取到准确的启动时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值