isdebuggerpresent

最新推荐文章于 2023-08-23 15:58:02 发布
最新推荐文章于 2023-08-23 15:58:02 发布
阅读量703 收藏
点赞数
分类专栏: c/c++ VC++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/earbao/article/details/52536341
版权
c/c++ 同时被 2 个专栏收录
364 篇文章 15 订阅
订阅专栏
VC++
45 篇文章 1 订阅
订阅专栏 
// isdebuggerpresent.cpp : Defines the entry point for the console application.
//

#include <stdio.h>
#include <windows.h>
#include <Winternl.h>


int main(int argc, CHAR* argv[]) {
	//__asm { int 3 }
	typedef long NTSTATUS; 
    #define STATUS_SUCCESS    ((NTSTATUS)0L) 
    HANDLE hProcess = GetCurrentProcess();

    typedef struct _SYSTEM_KERNEL_DEBUGGER_INFORMATION { 
                 BOOLEAN DebuggerEnabled; 
                 BOOLEAN DebuggerNotPresent; 
    } SYSTEM_KERNEL_DEBUGGER_INFORMATION, *PSYSTEM_KERNEL_DEBUGGER_INFORMATION; 

    enum SYSTEM_INFORMATION_CLASS { SystemKernelDebuggerInformation = 35 }; 
    typedef NTSTATUS  (__stdcall *ZW_QUERY_SYSTEM_INFORMATION)(IN SYSTEM_INFORMATION_CLASS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); 
    ZW_QUERY_SYSTEM_INFORMATION ZwQuerySystemInformation;
	SYSTEM_KERNEL_DEBUGGER_INFORMATION Info;

	/* load the ntdll.dll */
	HMODULE hModule = LoadLibraryA("ntdll.dll");
	ZwQuerySystemInformation = (ZW_QUERY_SYSTEM_INFORMATION)GetProcAddress(hModule, "ZwQuerySystemInformation");
	if(ZwQuerySystemInformation == NULL) {
		printf("Error: could not find the function ZwQuerySystemInformation in library ntdll.dll.");
		exit(-1);
	}
	printf("ZwQuerySystemInformation is located at 0x%08x in ntdll.dll.\n", (unsigned int)ZwQuerySystemInformation);

	if (STATUS_SUCCESS == ZwQuerySystemInformation(SystemKernelDebuggerInformation, &Info, sizeof(Info), NULL)) {
            if (Info.DebuggerEnabled && !Info.DebuggerNotPresent) {
                printf("System debugger is present.");
            }
			else {
				printf("System debugger is not present.");
			}
    }

	/* wait */
	getchar();

	return 0;
}

yunshouhu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第19章-OllyDbg反调试之IsDebuggerPresent1
08-03
第19章-OllyDbg反调试之IsDebuggerPresent1
IsDebuggerPresent的软件源码
04-09
《IsDebuggerPresent函数详解及其在VB中的应用》 在Windows API中,IsDebuggerPresent是一个非常重要的函数,它允许程序检测自身是否正在被调试器调试。这个功能在软件开发、安全研究以及逆向工程中有着广泛的应用...
反调试技术
nareku的博客
06-21 796
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
IsDebuggerPresent和DebugBreak在Windows项目中的应用
FlushHip
12-03 913
首先要从一篇文档说起,https://docs.microsoft.com/zh-cn/windows/win32/debug/basic-debugging,这篇文档介绍了Windows调试的相关内容,比如相关的调试术语Debugging Terminology,可以看一下,举个例子,为什么调试器可以动态修改变量的值,这里Process Functions for Debugging就给出了解释...
C++ Windows API IsDebuggerPresent的作用
最新发布
琅嬛福地
08-23 202
当你在没有附加调试器的情况下运行此程序时,它将输出 “Debugger is not attached.”。例如,恶意软件可能使用这个函数来检测其自身是否被安全研究人员调试,如果是,则可能采取一些措施来干扰调试或直接结束执行。是 Windows API 中的一个函数,它用于检测当前运行的程序是否正在被调试。当程序被如 Visual Studio 这样的调试器附加时,此函数会返回。作为安全机制是不可靠的,因为经验丰富的逆向工程师知道如何绕过这样的检查。
反调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 634
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
IsDebuggerPresent解密
把梦想放飞在蓝色的天空里...
05-09 1714
看看IsDebuggerPresent函数的秘密: 7C812E03 > 64:A1 18000000 mov eax, dword ptr fs:[18] //指向TEB自身,也就是FS 7C812E09 8B40 30 mov eax, dword ptr [eax+30] //指向PEB 7C812E0C
VB.Programming.IsDebuggerPresent.code.rar_vb IsDebuggerPresent
09-21
在VB(Visual Basic)编程中,`IsDebuggerPresent`是一个非常关键的函数,它属于Microsoft Visual Studio的内置功能。这个函数允许程序员检测当前运行的应用程序是否正在被调试器调试。了解并熟练运用`...
VB IsDebuggerPresent 反调试 爱琴海.rar
07-10
VB IsDebuggerPresent 反调试程序实例,作者:爱琴海,告诉你什么时候可以发现调试器,标识当前时间。这个源码是在VB软件防破解相关资料中整理出来的,和VB程序防破解有一定关系。
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.doc
09-19
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.doc
防止delphi被人反编译-加壳后发布-delphi软件保护器
10-16
防止delphi被人反编译 加壳后发布-delphi软件保护器 辛苦做的delphi软件被人解密了,是多么可惜的事情 有了这个软件,可以防范这些,充分保护你的软件 非常好的一个保护工具
IsDebuggerPresent原理及其 c++实现
weixin_34087307的博客
10-08 202
  在IsDebuggerPresent下断,步入得到如下代码: 750E38F0 | 64 A1 18 00 00 00 | mov eax,dword ptr fs:[18] | eax:std::cout 750E38F6 | 8B 40 30 | mov eax,dword ptr ds:[eax+30] ...
IsDebuggerPresent学习
weixin_33912445的博客
09-02 252
今天在Win7下分析Hamachi ××× Client的时候用windbg挂载之,弹出了一个Win32 on5的错误,由于调试方面很生疏,以为是使用了什么反调试的技术。放IDA中查看导入函数,看到了IsDebuggerPresent,以为是这个东西在作怪,最后发现这个错误很愚蠢,刚使用Win7没多久,一直不习惯使用右键里的管理员权限运行,点右键以管理员权限运行windbg之...
反调试功能<IsDebuggerPresent>
weixin_30423977的博客
09-19 194
依赖于API的反调试 这个函数会看PEB中的BeingDebugged是否为0,不为0就表示无调试器,否则表示有调试器.注意的是以前代码都会对这个函数首字节是否为0x64作判断,但在win7下,需要对应kernelBase中的IsDebuggerPresent,而不是kernel32中的IsDebuggerPresent //使用IsDebuggerPresent函数检测 DbgTo...
OD定位IsDebuggerPresent检测地址
二狗子的Blog
01-09 1254
编写个小程序,调用IsDebuggerPresent来检测调试器是否存在 2.打开原版汉化OD并附加到程序里,这里不能使用第三方OD,因为第三方OD集成了许多插件,有一定强度的反调试功能。 附加后,OD自动在模块入口处断下。 3.Ctrl+F9,执行到返回,程序跑起来之后再按Ctrl+N,调出来查看程序用了哪些模块命令。 找到了,这个程序调用了IsDebuggerPresent。 4.右...
关于IsDebuggerPresent
weixin_30686845的博客
05-30 127
  关于IsDebuggerPresent()函数的文章已经数不胜数了,随便一搜就能找出一堆来,但是我还是准备写一份放在这里,算是留个备份吧。   微软给我们提供了一个API函数用来检测当前程序是否正在被调试,这就是可怜的IsDebuggerPresent() ,这个函数的存在似乎只是为了证明在Windows的世界里确实存在一个最杯具的API函数……这个函数的实现很简单,直接windbg查看一下...
IsDebuggerPresent官方出处
lixiangminghate的专栏
02-16 928
在前面我的博文一步一步简单的保护我们的代码中 http://blog.csdn.net/lixiangminghate/article/details/43153263 提到了动态监测进程是否被调试。此间用到了Win Api IsDebuggerPresent。很可惜,某些系统没有导出该函数,因此,在那篇博文中用汇编模拟了这个API的实现。         今天看reactos033异常处理相关
程序破解之 API HOOK技术 z
weixin_34185364的博客
06-03 506
API HOOK,就是截获API调用的技术,在程序对一个API调用之前先执行你的函数,然后根据你的需要可以执行缺省的API调用或者进行其他处理,假设如果想截获一个进程对网络的访问,一般是几个socket API : recv,recvfrom, send, sendto等等,当然你可以用网络抓包工具,这里只介绍通过API HOOK的方式来实现, 主要原理是在程序运行中动态修改目标函数地址的内存数据...
"第19章:使用IsDebuggerPresent绕过OllyDbg反调试
在这个案例中,我们记得我们的OD只安装了命令栏插件,并没有安装绕过IsDebuggerPresent检测的插件,那么是如何使用IsDebuggerPresent来检测OD的呢?如果我们按F9键让程序运行起来,我们会发现并没有弹出CrackMe窗口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值