[zt]一些检测调试器的方法

最新推荐文章于 2022-04-16 21:06:00 发布
最新推荐文章于 2022-04-16 21:06:00 发布
阅读量872 收藏
点赞数
文章标签: include byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alphagx/article/details/1555827
版权
IsDebuggerPresent

.386
      .model flat, stdcall
      option casemap :none   ; case sensitive

      include /masm32/include/windows.inc
      include /masm32/include/user32.inc
      include /masm32/include/kernel32.inc

      includelib /masm32/lib/user32.lib
      includelib /masm32/lib/kernel32.lib

    .data
       DbgNotFoundTitle db "Debugger status:",0h
       DbgFoundTitle db "Debugger status:",0h
       DbgNotFoundText db "Debugger not found!",0h
       DbgFoundText db "Debugger found!",0h
    .code

start:

; MASM32 antiRing3Debugger example
; coded by ap0x
; Reversing Labs: http://ap0x.headcoders.net

; This example can detect all ring3 debuggers by accessing PEB!BeingDebuged.
; You can see this code in kernel32.dll!IsDebuggerPresent function.

ASSUME FS:NOTHING
MOV EAX,DWORD PTR FS:[18h]
MOV EAX,DWORD PTR DS:[EAX+30h]
MOVZX EAX,BYTE PTR DS:[EAX+2h]

CMP EAX,1
JE @DebuggerDetected

PUSH 40h
PUSH offset DbgNotFoundTitle
PUSH offset DbgNotFoundText
PUSH 0
CALL MessageBox

JMP @exit
  @DebuggerDetected:

PUSH 30h
PUSH offset DbgFoundTitle
PUSH offset DbgFoundText
PUSH 0
CALL MessageBox

  @exit:

PUSH 0
CALL ExitProcess

end start






alphagx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
检测调试器以及虚拟机方法汇总(不断更新,主要针对android)
liutianheng654的博客
01-15 2069
第一类:环境监测类 1)监测设备温度 2)查看相应进程、文件、so(通过/proc/self/mmap) 3)查看相应软件(virtualbox) 4)监测当前内存(内存过低),系统(版本过低),sim卡信息,cpu核数太少 5)当前电量(基本上不变) 6)虚拟机无法处理的一些特殊指令 7)查看环境(临时文件多不多) 8)延迟执行 第二类:监测调试行为 1)...
反调试(设置主线程为隐藏调试破坏调试通道&调试器检测
m0_55875295的博客
02-14 2157
调试本质就是下一个int3(异常),有了异常,调试器会接收到异常,就会给处理的机会,处理前先找调试器,处理完再找调试器,找两次调试器。利用驱动层的函数能够把线程设置调试下隐藏,本意是进程不调试,但带来的后果是当这个线程本身是附加了调试器的,本来一个int3的断点,产生的是异常,会产生异常到了这,调试器又不处理 因为是个未公开函数,就要先加载导出表 void GameProtect::AntiDebug() { auto hNtdll = LoadLibrary(L"ntdll.dll"); ...
调试器检测教程
qq_35129925的博客
03-28 1173
#pragma warning(disable : 4996) #include <Windows.h> #include <Psapi.h> #include using namespace std; typedef int PROCESSINFOCLASS ; typedef NTSTATUS(WINAPI *NtQueryInformationProcessPtr)...
检测调试器(过StrongOD)
井底之蛙
08-17 5754
放码(⊙_⊙)~~ 方法一: //GetCursorPos,WindowFromPoint POINT point; if (GetCursorPos(&point)) { char buf[256]; HWND hwnd = WindowFromPoint(po
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1824
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
二、C++反作弊对抗实战 (进阶篇 —— 18.如何检测与对抗各种调试器)
Koma的主页
04-16 1650
如何检测与对抗各种调试器 为了应对破解者调试我们的反作弊系统,所以我们需要检测各种调试器,以此来判断我们的游戏是否正在被调试。本文将非常详细的由浅入深的介绍ring3下面各种常见的检测方法(包括示例代码)
反调试技术(1) 函数检测
jentle8的博客
10-04 1200
什么是反调试 反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 反调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
脱壳的艺术--2 调试器检测技术
FISH 的专栏
01-19 2043
  脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁
anti-debug1——侦测
40KO的博客
01-23 341
BeingDebugged标记 最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()->BeingDebugged; } 要找到BeingDebugged在当前进...
xPELister v0.21 by reversingLabs
Linhanshi Blog
01-02 917
转自:EXETOOLSxPELister is a simple PE Editor with RepairPE module included. This means that it can repair PE files so Olly can load it (repair all AntiOlly PE header tricks)down:http://ap0x.
使用ida分析和x32dbg调试的方式来让PC端微信可以多开
weixin_43350252的博客
08-20 6045
测试版本号: 达到效果: 想法:微信无法多开事实很可能上是通过windows客户端使用一个叫做mutex的互斥量来完成的,通过创建一个全局的互斥量来使第二个新进程不继续正常运行,而是把旧的微信窗口弹到桌面最前端。 使用ida打开wechat.exe后按照想法可以在导入表中搜索名为createmutex的函数,但是很遗憾搜不到:但是我们找到了这些函数: 有可能是通过遍历进程表来完成防止多开的吗? 通过分析调用这些api的函数并不是防止多开用的,我猜想很可能是用来检测更新,然后强行终止正在运行的微信:
IsDebuggerPresent() 函数检测进程是否运行在调试器的控制下
StudyRecord的专栏
02-15 917
<br />如题
如何检测程序是否被调试
Y___Y的专栏
09-11 5641
 如何检测程序是否被调试,其实很简单,几行代码就行了,常应用于软件防破解等方面,但对于某些调试器而言无效(比如改进的OllyDbg--OllyICE)。下面是C+asm代码,大家可以试试。#include #include int IsDebugged(){    __asm    {        mov eax, fs: [30h] //获取线程环境块中对应的进程环境块的地址        m
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
网络远程调试 Python 发送打印指令 斑马ZT410
最新发布
06-02
要进行网络远程调试,您可以使用Python的`socketserver`模块创建一个TCP服务器,然后在客户端中连接该服务器并发送打印指令。以下是一个简单的示例代码,可供参考: 服务器端代码: ```python import socketserver class PrintServer(socketserver.BaseRequestHandler): def handle(self): # 接收客户端发送的数据 data = self.request.recv(1024).strip() print('Received: {}'.format(data)) # 发送打印指令给打印机 # 此处省略具体实现 # 响应客户端请求 response = 'OK' self.request.sendall(response.encode('utf-8')) if __name__ == '__main__': # 服务器IP地址和端口号 server_ip = '' server_port = 9999 # 创建服务器并启动监听 print('Server is running...') with socketserver.TCPServer((server_ip, server_port), PrintServer) as server: server.serve_forever() ``` 客户端代码: ```python import socket # 服务器IP地址和端口号 server_ip = '192.168.0.100' server_port = 9999 # 要打印的内容 content = 'Hello, World!' # 创建socket连接 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((server_ip, server_port)) # 发送打印指令 s.sendall(content.encode('utf-8')) # 接收服务器响应 response = s.recv(1024).decode('utf-8') print('Response: {}'.format(response)) # 关闭socket连接 s.close() ``` 在客户端中,您需要修改服务器的IP地址和端口号,以及要打印的内容。在服务器端中,您需要针对打印机的具体配置实现打印指令的发送。在客户端发送完指令后,会等待服务器的响应,以确保指令已经正确发送并被打印机处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

alphagx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值