如何检测程序是否被调试

最新推荐文章于 2024-09-25 09:54:45 发布
最新推荐文章于 2024-09-25 09:54:45 发布
阅读量5.8k 收藏 1
点赞数 1
文章标签: 破解 byte 测试 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y___Y/article/details/1781200
版权
 如何检测程序是否被调试,其实很简单,几行代码就行了,常应用于软件防破解等方面,但对于某些调试器而言无效(比如改进的OllyDbg--OllyICE)。
下面是C+asm代码,大家可以试试。
#include <stdio.h>
#include <conio.h>
int IsDebugged()
{
    __asm
    {
        mov eax, fs: [30h] //获取线程环境块中对应的进程环境块的地址
        movzx eax, byte ptr[eax + 2h] //获取BebingDebugged标志的值
        or al, al  //测试BebingDebugged标志的值
        jz FLAG1
        mov eax, 1
        jmp END
 FLAG1:
        mov eax, 0 //推荐使用xor eax,eax语句
 END:
    }
}

int main()
{
    if (IsDebugged())
    {
        printf("有调试器!/n");
    }
    else
    {
        printf("无调试器!/n");
    }
    getch();
    return 0;
}
Y___Y
关注
[车联网安全自学篇] Android安全之检测APK应用程序是否可被调试的多种技巧
橙留香Park的博客
08-26 982
APK调试的前提条件是APK是可调试的状态,但一般开放人员在发版的时候,会发release版。因为在一般的手机上,release版本的应用是不可以被调试的,相对来说起到了保护APK的作用PS:在最初的时候,开发Android是没有gradle的,那时候发release版不像现在在gradle配置好就行了,是直接操作文件中标签的属性Android系统会通过APP的文件中设置属性,去验证App可不可以调试。假如想关掉这个系统验证,一种是重新刷入boot.img修改方法,另一种是通过hook修改。......
C/C++检测进程是否调试
_KaQqi的博客
12-06 2719
程序使用API SetUnhandledExceptionFilter 来注册一个未处理异常的函数1,如果进程没有被调试,那么会触发一个未处理异常,导致操作系统会将控制权交给函数1。如果进程被调试,则调试器会捕捉这个未处理异常。这样,我们的函数1也就不会被执行了。 这里在触发异常时,则是跳回原来的代码来执行,而不会退出程序。 UnhandledExceptionFilter 这个函数修改了EI
关于检查程序是否调试
潜心习安全
11-25 274
TEB/PEB 结构的检测调试原理 PEB 结构的 UCHAR BeingDebugged 调试 :1 未调试:0 ULONG NtGlobalFlag 调试 :70h 未调试:0 PVOID ProcessHeap(记录了堆的地址)中的 0ch 处的 HeapFlags 和 10h 处的 ForceFlags 也可以用来检测调试与否 HeapFlags 的正常值为2 ForceF...
易语言-置入汇编实现检测是否调试
06-25
IsDebuggerPresent ()一般用来检测程序是否出于调试状态,返回值逻辑型 纯汇编调用此API,好处是程序导入表中查看不到此API 不过终究还是调用了API,bp 断点可以正常断下, 而且一般OD 反调试插件已经和谐此函数,所以: 此源码仅用于学习研究,请勿用于发布版程序! 此源码仅用于学习研究,请勿用于发布版程序! 不要被一些网络验证的宣传欺骗了,"买了送你纯汇编的XX之盾!" 一看全是汇编代码,"WOC,牛逼!",以为真的就是纯汇编不调用任何api函数 其实有的置入代码也同样调用了API函数, bp可以正常断下,反调试插件同样可以和谐掉 程序最终的发布版肯定要加VMP,既然最后要加VMP, 个人感觉置入代码对防破的意义不大 防破还是主要靠代码混淆 暗桩和通信加密 回归正题,此代码执行过程 ========== 1 遍历PEB表,获取IsDebuggerPresent函数地址 2 调用IsDebuggerPresent 2 判断返回值是否为真,如果是真,程序自动崩溃 如果是假,继续向下执行
使用 GetStartupInfo 检查自己是否被"调试"
03-02 466
在使用 CreateProcess 创建进程时,需要传递 STARTUPINFO 的结构的指针,而常常我们并不会一个一个设置其结构的值,连把其他不用的值清0都会忽略,而 ollydbg 也这样做了,我们可以使用 GetStartupInfo 检查启动信息,如果很多值为"不可理解"的,那么就说明自己不是由 explorer 来创建的.(explorer.exe 使用 shell32 中 ShellE
判断当进程是否调试
qq_55299985的博客
10-04 329
_asm { // 进程的PEB mov eax, fs:[30h] // 进程的堆,我们随便访问了一个堆,下面是默认的堆 mov eax, [eax + 18h] // 检查ForceFlag标志位,在没有被调试的情况下应该是 mov eax, [eax + 10h] mov result, eax } return result!
完整版检测软件是否调试[源码].rar
04-02
这个“完整版检测软件是否调试[源码]”的压缩包可能包含了一套完整的源代码和相关资源,用于实现这样的检测功能。下面,我们将详细探讨这个主题的相关知识点。 1. **调试基础知识**: - 调试器:调试器是程序员...
易语言防程序调试源码-易语言
06-13
"易语言防程序调试源码"意味着提供了用易语言编写的源代码,用于实现阻止程序调试的功能。开发者可以通过学习这段源码,了解如何在易语言中实现调试防护机制。 高级教程源码通常包含复杂的编程概念和技巧,适合有...
易语言-易语言反调试手段,检测自身是否被断点
06-25
写法很简单,思路也很简单,就是第一次初始化时将代码...对应位置的机器码(第一个字节)会被替换成0XCC(对应的汇编指令为int3)字节变化了那么累加起来的数就会不同,达到了检测断点的效果,新手可以看看,大佬绕道咯
易语言-易语言6种检测OD调试方法
06-29
源码用了6种检测方法,内存分配反调试,子窗口反调试,时间差反调试,启动信息反调试,时间间隔反调试检测调试器反调试
日立电梯调试程序FMT程序.rar
02-21
《日立电梯调试程序FMT程序详解》 在现代建筑中,电梯已成为不可或缺的一部分,而电梯的安全、高效运行离不开精细的调试与维护。日立电梯作为全球知名的电梯品牌,其提供的调试工具——FMT程序,是技术人员进行电梯...
C++检测自己是否调试
lovehuanhuan1314的专栏
05-11 3183
检测自己是否调试主要有调用API和获取PEB标志 PEB标志主要检测BeingDebugged 和NtGlobalFlag ,当然检测一个就行了,一般来说如果一个被调试器的反检测调试功能修改那另外的一般也跑不了,对于x86 PEB读取 fs[0x30]即可,对于x64读取gs[0x60]即可,BeingDebugged的偏移为固定的0x002,NtGlobalFlag因为两者结构不一样所以偏移也不一样x86:0x68 x64:0xbc。NtGlobalFlag如果被调试其值为0x70。 而API有.
易语言服务器调试输出为假,易语言判断、如果真、文本到整数比较时,调试时运行正常,编译后不正常...
weixin_42352453的博客
07-31 938
今天在用易语言帮一个客户写程序的时候,发言一个奇怪的问题,就是在用判断、如果真命令比较2个文本到整数后的值时,在调试运行的时候,一切正常,但是编译出来后,运行不正常,不符合逻辑,最终经过调试输出,发现是因为文本到整数后,超出了易语言整数型变量的范围引起的该问题。下面记录一下我解决问题的过程。刚开始的代码是这样的:.版本 2文本1 = “20180801115”文本2 = “20180801116”...
C\C++如何在代码中区分Debug或者Release模式
Marvek的博客
07-03 5742
在Release模式下会自动定义一个宏NDEBUG,Debug模式下没有,因此可以在在代码中判断宏NDEBUG是否存在来判断是Release模式还是Debug模式。示例代码如下 #ifndef NDEBUG std::cout << "Hello, World! Debug Mode" << std::endl; #else std::cout &lt...
判断是debug还是release模式
chuyouyinghe的专栏
07-08 2284
1、当有些功能不希望在release模式实现时,但是debug模式又需要的时候,就可以对当前版本模式进行判断。如是debug模式则日志输出级别设置为Level.DEBUG,release模式设置为Level.INFO,或者debug模式才上传crash日志等。 1.1 判断当前应用是否是debug状态 /** * 判断当前应用是否是debug状态 */ public static boolean isApkInDebug(Context context) { try { Ap
关于Debug和Release之本质区别的讨论(收藏)
酷狗的窝(kugou123)
12-29 3170
本文主要包含如下内容:1. Debug 和 Release 编译方式的本质区别2. 哪些情况下 Release 版会出错3. 怎样“调试” Release 版的程序--------------------------------------            一、Debug 和 Release 编译方式的本质区别    Debug 通常称为调试版本,它包含调试信息,并且不作任何优化,便于程序
C++代码中判断运行模式(debug、release)和环境(win32、64)
qq_40544338的博客
11-23 622
一、目的 1、想知道:在C++代码中判断运行模式(debug、release)和环境(win32、64) 二、参考 1、在C++代码中判断运行模式(debug、release)和环境(win32、64) https://blog.csdn.net/u011091739/article/details/78601373 ...
软件测试实验室多体系并行情况下如何编写质量管理体系文件
daopuyun的博客
09-23 400
很多软件测试实验室在计划申请CNAS或CMA资质前已经有在运行的质量管理制度,也有不少软件测试实验室计划同时申请不同的资质,很容易出现管理体系内容交叉重复、协同不够、表述不一等问题。这些并行的管理体系如何做好科学、统一的管理是我们在资质申请前需要明确的。
Spring Boot 进阶- Spring Boot入门程序详解
最新发布
初学者
09-25 1060
在之前的项目中我们看到在resource目录中有一个application.properties的文件,现在我们习惯使用application.yml配置文件,其实二者所实现的效果是一样的。在Spring Boot中为开发者提供了很多的场景启动器,并且这些启动器的配置信息并不是在内部写死的,例如配置数据库、配置中间件、配置服务的端口号这些内容。在Spring Boot中统一使用了Properties类对这些配置进行了抽象。在Spring启动的时候可以通过对应的配置前缀进行读取相应的配置值。
delphi7 准确检测程序是否被OD等调试器注入,写例子,并注释。
09-23
Delphi 7 (也称为Borland Delphi) 提供了一种名为`TThread.Suspended`属性来检测程序是否正在被调试器(如OllyDbg、IDA Pro等)中断并单步执行。这种方法不是绝对精确的,因为一些高级调试器可能会绕过这种检查,但它可以作为一个初步的防御机制。 下面是一个简单的示例: ```delphi unit Unit1; interface uses Windows, Classes; type TMyForm = class(T TForm) private FIsDebuggerPresent: Boolean; // 存储当前状态 procedure FormCreate(Sender: TObject); public procedure CheckIfDebugged; end; var MyForm: TMyForm; implementation procedure TMyForm.FormCreate(Sender: TObject); begin FIsDebuggerPresent := False; end; // 检查函数,每秒更新一次检测结果 procedure TMyForm.CheckIfDebugged; var SleepInterval: Integer; begin if not FIsDebuggerPresent then begin // 当前不是调试模式,尝试获取线程状态 Try FIsDebuggerPresent := TThread.Suspended <> 0; except // 如果无法获取,可能是调试器干扰了 FIsDebuggerPresent := True; end; // 更新UI显示当前状态 if Assigned(DebugInfo) and DebugInfo.Active then Memo1.Lines.Add('Detected debugger presence: ' + IntToStr(FIsDebuggerPresent)); // 设置定时器定期检查(这里设置每秒) SleepInterval := 1000; Timer1.Interval := SleepInterval; Timer1.Enabled := True; end else Timer1.Enabled := False; // 如果是调试模式,停止检查 end; end. ``` 在这个例子中,`TThread.Suspended`非零值表示线程处于暂停状态,这通常意味着被调试器中断。如果检测到这个状态,`CheckIfDebugged`函数会记录并可能采取相应措施,如关闭敏感功能。 然而请注意,这种方法有其局限性,比如它依赖于操作系统级别的线程信息,而有些高级调试器可以隐藏它们的存在。因此,仅作为安全意识的一种增强手段,而不是全面的安全解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值