[zt]一些检测调试器的方法

最新推荐文章于 2020-01-15 14:37:11 发布
最新推荐文章于 2020-01-15 14:37:11 发布
阅读量916 收藏
点赞数
文章标签: include byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alphagx/article/details/1555827
版权
IsDebuggerPresent

.386
      .model flat, stdcall
      option casemap :none   ; case sensitive

      include /masm32/include/windows.inc
      include /masm32/include/user32.inc
      include /masm32/include/kernel32.inc

      includelib /masm32/lib/user32.lib
      includelib /masm32/lib/kernel32.lib

    .data
       DbgNotFoundTitle db "Debugger status:",0h
       DbgFoundTitle db "Debugger status:",0h
       DbgNotFoundText db "Debugger not found!",0h
       DbgFoundText db "Debugger found!",0h
    .code

start:

; MASM32 antiRing3Debugger example
; coded by ap0x
; Reversing Labs: http://ap0x.headcoders.net

; This example can detect all ring3 debuggers by accessing PEB!BeingDebuged.
; You can see this code in kernel32.dll!IsDebuggerPresent function.

ASSUME FS:NOTHING
MOV EAX,DWORD PTR FS:[18h]
MOV EAX,DWORD PTR DS:[EAX+30h]
MOVZX EAX,BYTE PTR DS:[EAX+2h]

CMP EAX,1
JE @DebuggerDetected

PUSH 40h
PUSH offset DbgNotFoundTitle
PUSH offset DbgNotFoundText
PUSH 0
CALL MessageBox

JMP @exit
  @DebuggerDetected:

PUSH 30h
PUSH offset DbgFoundTitle
PUSH offset DbgFoundText
PUSH 0
CALL MessageBox

  @exit:

PUSH 0
CALL ExitProcess

end start






alphagx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二、C++反作弊对抗实战 (进阶篇 —— 18.如何检测与对抗各种调试器)
Koma的主页
04-16 1823
如何检测与对抗各种调试器 为了应对破解者调试我们的反作弊系统,所以我们需要检测各种调试器,以此来判断我们的游戏是否正在被调试。本文将非常详细的由浅入深的介绍ring3下面各种常见的检测方法(包括示例代码)
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
调试器检测教程
qq_35129925的博客
03-28 1242
#pragma warning(disable : 4996) #include <Windows.h> #include <Psapi.h> #include using namespace std; typedef int PROCESSINFOCLASS ; typedef NTSTATUS(WINAPI *NtQueryInformationProcessPtr)...
游戏是如何检测到有OD等调试工具的(转)
Richard的专栏
03-10 3135
 知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//******
反调试技术(1) 函数检测
jentle8的博客
10-04 1421
什么是反调试 反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 反调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
IsDebuggerPresent() 函数检测进程是否运行在调试器的控制下
StudyRecord的专栏
02-15 954
<br />如题
【移动安全基础篇】——27、常用调试检测方法与过检测方法
Fly_鹏程万里
01-19 578
1.  调试检测 在调试加壳软件的时候,总是会突然出现调试中断,或者是程序的异常退出,但是一旦不处于调试的时候又能够正常启动,这些都是因为调试被 app 检测到的原因。2.  基本的调试监控 常用的监控手段: 1)  检测用户组 cmdline 中是否存在调试进程(gdb、gdbserver、android_server、xposed 等)修改调试器的名称 2)  检测线程状态,查看是否存在被调试...
检测调试器和trace
u012477117的专栏
12-04 579
网络搜集好久才完成的初步成果,分享给大家:检测程序是否调试模式和trace,如果是则退出程序。import import include include if !defined(PT_DENY_ATTACH)define PT_DENY_ATTACH 31endif // !defined(PT_DENY_ATTACH)void disable_gdb() { void* handle
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
检测调试器以及虚拟机方法汇总(不断更新,主要针对android)
liutianheng654的博客
01-15 2155
第一类:环境监测类 1)监测设备温度 2)查看相应进程、文件、so(通过/proc/self/mmap) 3)查看相应软件(virtualbox) 4)监测当前内存(内存过低),系统(版本过低),sim卡信息,cpu核数太少 5)当前电量(基本上不变) 6)虚拟机无法处理的一些特殊指令 7)查看环境(临时文件多不多) 8)延迟执行 第二类:监测调试行为 1)...
检测调试器(过StrongOD)
井底之蛙
08-17 5843
放码(⊙_⊙)~~ 方法一: //GetCursorPos,WindowFromPoint POINT point; if (GetCursorPos(&point)) { char buf[256]; HWND hwnd = WindowFromPoint(po
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2094
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
绕过系统调试器检测
Eif的专栏
10-18 884
原因 有些时候,进程检测到有调试器时,会把异常直接交给调试器,这样,我们就调试不了我们的异常抓取逻辑。 (当然应该也有进程故意针对有调试器情况下做特殊处理的例子,同理是可以绕过去的) 步骤 打开windbg,打开exe和源代码,加载符号 下断点 bp kernel32!UnhandledExceptionFilter 注意,UnhandledExceptionFilter的位置每个版本的操作...
anti-debug1——侦测
40KO的博客
01-23 408
BeingDebugged标记 最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()-&gt;BeingDebugged; } 要找到BeingDebugged在当前进...
如何检测程序是否被调试
Y___Y的专栏
09-11 5769
 如何检测程序是否被调试,其实很简单,几行代码就行了,常应用于软件防破解等方面,但对于某些调试器而言无效(比如改进的OllyDbg--OllyICE)。下面是C+asm代码,大家可以试试。#include #include int IsDebugged(){    __asm    {        mov eax, fs: [30h] //获取线程环境块中对应的进程环境块的地址        m
内核两种反调试方法
zhuhuibeishadiao
05-02 4185
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值