IsDebuggerPresent官方出处

最新推荐文章于 2021-10-14 21:47:54 发布
最新推荐文章于 2021-10-14 21:47:54 发布
阅读量935 收藏 1
点赞数
分类专栏: win内核 文章标签: 调试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/43855391
版权

        在前面我的博文一步一步简单的保护我们的代码中 http://blog.csdn.net/lixiangminghate/article/details/43153263 提到了动态监测进程是否被调试。此间用到了Win Api IsDebuggerPresent。很可惜,某些系统没有导出该函数,因此,在那篇博文中用汇编模拟了这个API的实现。

        今天看reactos033异常处理相关的源码,在异常处理开始部分,无意中看到了reactos监测进程调试状态的实现,代码如下:

[ntoskrnl\include\internal\i386\asmmarco.S]

    mov ecx, fs:[KPCR_CURRENT_THREAD]
    cld

    /* Flush DR7 */
    and dword ptr [ebp+KTRAP_FRAME_DR7], 0

    /* Check if the thread was being debugged */
    test byte ptr [ecx+KTHREAD_DEBUG_ACTIVE], 0xFF
    jnz Dr_&Label

        既然reactos有这部分代码,wrk没理由没有,经过搜索,在文件[base\ntos\ke\i386\kimarco.inc]中找到如下代码: 
ifdef PcPrcbData
        mov     ecx,PCR[PcPrcbData+PbCurrentThread] ; get current thread address
else
        mov     ecx,PCR[PcPrcb]
        mov     ecx,[ecx].PbCurrentThread ; get current thread address
endif
        cld

        and     dword ptr [ebp].TsDr7, 0
        test    byte ptr [ecx].ThDebugActive, 0ffh ; See if debug registers need saving

        jnz     Dr_&AssistLabel

看到没,不是网上随便忽悠的,确有这样的检测方法。差不多是官方声明的,放心用吧

Eugene800
关注
专栏目录
gao定反调试机制之IsDebuggerPresent和进程枚举
ChuMeng1999的博客
11-09 849
目录预备知识1.关于Immunity Debugger2.IsDebuggerPresent3.进程枚举4.FS寄存器的某些偏移的含义,及TEB,PEB实验目的实验环境实验步骤一实验步骤二 预备知识 1.关于Immunity Debugger 位于迈阿密的专业渗透测试技术公司immunity发布了一种新的工具。这种工具能够加快编写利用安全漏洞代码、分析恶意软件和二进制文件逆向工程等过程的速度。这个名为“debugger”的调试工具。immunity称,这个调试工具能够帮助研究人员和渗透测试人员把制作利用安全
第19章-OllyDbg反调试之IsDebuggerPresent1
08-03
第19章-OllyDbg反调试之IsDebuggerPresent1
isdebuggerpresent
云守护的专栏
09-14 709
// isdebuggerpresent.cpp : Defines the entry point for the console application. // #include #include #include int main(int argc, CHAR* argv[]) { //__asm { int 3 } typedef long NTSTATUS; #
IsDebuggerPresent()
weixin_30505751的博客
09-28 342
IsDebuggerPresent()该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 BOOL APIENTRY IsDebuggerPresent(VOID) { return NtCurrentPeb()->BeingDebugged; } 在x86下用win...
IsDebuggerPresent学习
weixin_33912445的博客
09-02 255
今天在Win7下分析Hamachi ××× Client的时候用windbg挂载之,弹出了一个Win32 on5的错误,由于调试方面很生疏,以为是使用了什么反调试的技术。放IDA中查看导入函数,看到了IsDebuggerPresent,以为是这个东西在作怪,最后发现这个错误很愚蠢,刚使用Win7没多久,一直不习惯使用右键里的管理员权限运行,点右键以管理员权限运行windbg之...
IsDebuggerPresent解密
把梦想放飞在蓝色的天空里...
05-09 1720
看看IsDebuggerPresent函数的秘密: 7C812E03 > 64:A1 18000000 mov eax, dword ptr fs:[18] //指向TEB自身,也就是FS 7C812E09 8B40 30 mov eax, dword ptr [eax+30] //指向PEB 7C812E0C
VB.Programming.IsDebuggerPresent.code.rar_vb IsDebuggerPresent
最新发布
09-21
在VB(Visual Basic)编程中,`IsDebuggerPresent`是一个非常关键的函数,它属于Microsoft Visual Studio的内置功能。这个函数允许程序员检测当前运行的应用程序是否正在被调试调试。了解并熟练运用`...
IsDebuggerPresent的软件源码
04-09
《IsDebuggerPresent函数详解及其在VB中的应用》 在Windows API中,IsDebuggerPresent是一个非常重要的函数,它允许程序检测自身是否正在被调试调试。这个功能在软件开发、安全研究以及逆向工程中有着广泛的应用...
VB IsDebuggerPresent调试 爱琴海.rar
07-10
VB IsDebuggerPresent调试程序实例,作者:爱琴海,告诉你什么时候可以发现调试器,标识当前时间。这个源码是在VB软件防破解相关资料中整理出来的,和VB程序防破解有一定关系。
IsDebuggerPresent VC6.0编译时会报连接错误
HUA的专栏
12-01 1546
IsDebuggerPresent函数可以用来检测本进程是否处于被调试状态,当然,这种方法的实用性不大。 此函数在winbase.h中声明如下:WINBASEAPI BOOL WINAPI IsDebuggerPresent(void); 如果本进程当前正在被调试则返回1,否则返回0。 直接调用此函数的源程序在用VC6.0编译时会报连接错误,原因是kernel32.lib中找不到_IsDeb
防止delphi被人反编译-加壳后发布-delphi软件保护器
10-16
防止delphi被人反编译 加壳后发布-delphi软件保护器 辛苦做的delphi软件被人解密了,是多么可惜的事情 有了这个软件,可以防范这些,充分保护你的软件 非常好的一个保护工具
关于IsDebuggerPresent
weixin_30686845的博客
05-30 130
  关于IsDebuggerPresent()函数的文章已经数不胜数了,随便一搜就能找出一堆来,但是我还是准备写一份放在这里,算是留个备份吧。   微软给我们提供了一个API函数用来检测当前程序是否正在被调试,这就是可怜的IsDebuggerPresent() ,这个函数的存在似乎只是为了证明在Windows的世界里确实存在一个最杯具的API函数……这个函数的实现很简单,直接windbg查看一下...
调试技术- IsDebuggerPresent,原理 与 反反调试
desword-- 技术,杂文。
07-25 6583
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
IsDebuggerPresent() 函数检测进程是否运行在调试器的控制下
StudyRecord的专栏
02-15 964
<br />如题
调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 674
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
IsDebuggerPresentDebugBreak在Windows项目中的应用
FlushHip
12-03 954
首先要从一篇文档说起,https://docs.microsoft.com/zh-cn/windows/win32/debug/basic-debugging,这篇文档介绍了Windows调试的相关内容,比如相关的调试术语Debugging Terminology,可以看一下,举个例子,为什么调试器可以动态修改变量的值,这里Process Functions for Debugging就给出了解释...
调试之IsDebuggerPresent()分析
sanqiuai的博客
08-04 828
哪个DLL导出了该函数? 查MSDN可知 学习一个函数最好的方式是在自己的程序里面调用该函数,并分析自己的程序,我用c写了一个简单的程序,函数不断循环打印“I am running…”,并不断检查是否程序被调试,如果程序被调试,则输出“软件正在被调试”,然后退出 如何找到main函数 打开OD附加调试 ...
调试单元IsDebbuged.pas
01-26 356
(转)防调试单元IsDebbuged.pas unit IsDebbuged;interfaceusesWindows;function PD_PEB_BeingDebuggedFlag(): Boolean;function FD_PEB_NtGlobalFlags(): Boolean;function FD_Heap_HeapFlags(): Boolean;function FD_Heap
"第19章:使用IsDebuggerPresent绕过OllyDbg反调试
在这个案例中,我们记得我们的OD只安装了命令栏插件,并没有安装绕过IsDebuggerPresent检测的插件,那么是如何使用IsDebuggerPresent来检测OD的呢?如果我们按F9键让程序运行起来,我们会发现并没有弹出CrackMe窗口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值