反调试之最朴实的招式最致命
反调试手段检测花样层出不穷,今天来介绍俩种相对简单的手段,但是却能达到出其不意的效果。
在系统编程中我们遍历进程,模块,线程,堆的时候都需要用到一个函数:CreateToolhelp32Snapshot,其函数原型及其解释如下:
HANDLE CreateToolhelp32Snapshot(
[in] DWORD dwFlags,
[in] DWORD th32ProcessID
);
//获取指定进程的快照,以及这些进程使用的堆、模块和线程。
| TH32CS_INHERIT:0x80000000 | 指示快照句柄是可继承的。 |
| TH32CS_SNAPALL | 包括系统中的所有进程和线程,以及 th32ProcessID 中指定的进程的堆和模块。 等效于使用 OR 操作 。 |
| TH32CS_SNAPHEAPLIST:0x00000001 | 包括快照中 th32ProcessID 中指定的进程的所有堆。 若要枚举堆,请参阅 Heap32ListFirst。 |
| TH32CS_SNAPMODULE:0x00000008 | 包括快照中 th32ProcessID 中指定的进程的所有模块。 若要枚举模块,请参阅 Module32First。 如果函数失败 且ERROR_BAD_LENGTH,请重试该函数,直到函数成功。 |
| TH32CS_SNAPMODULE32:0x00000010 | 64 位 Windows: 在 32 位进程中使用此标志包括 第 32 个ProcessID 中指定的进程的 32 位模块,而在 64 位进程中使用它包括 64 位模块。若要从 64 位进程包含 在 th32ProcessID 中指定的进程的 32 位模块,请使用 TH32CS_SNAPMODULE32 标志。从 64 位进程调用时,在快照中包含 在 th32ProcessID 中指定的进程的所有 32 位模块。此标志可以与 TH32CS_SNAPMODULE 或 TH32CS_SNAPALL结合使用。 如果函数失败 且ERROR_BAD_LENGTH,请重试该函数,直到函数成功。 |
| TH32CS_SNAPPROCESS:0x00000002 | 在快照中包含系统中的所有进程。 若要枚举进程,请参阅 Process32First。 |
| TH32CS_SNAPTHREAD:0x00000004 | 在快照中包含系统中的所有线程。 若要枚举线程,请参阅 Thread32First。 |
接下来通过此函数完成进程遍历:
#include
#include
#include
int main()
{
PROCESSENTRY32 pe32 = { 0 };
pe32.dwSize = sizeof(PROCESSENTRY32);
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
BOOL bRet = Process32First(hSnap, &pe32);
do
{
printf("Process Name:%S\n", pe32.szExeFile);
printf("Process ID:%d\n", pe32.th32ProcessID);
} while (Process32Next(hSnap, &pe32));
CloseHandle(hSnap);
system("pause");
return 0;
}
运行效果如下:
那么遍历出进程名,就可以开始对各种调试器进行名称查找,如果找到,说明开启了调试器,这里以x32dbg为例:
#include
#include
#include
int main()
{
PROCESSENTRY32 pe32 = { 0 };
pe32.dwSize = sizeof(PROCESSENTRY32);
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
BOOL bRet = Process32First(hSnap, &pe32);
do
{
/*printf("Process Name:%S\n", pe32.szExeFile);
printf("Process ID:%d\n", pe32.th32ProcessID);*/
if (wcsstr(pe32.szExeFile,L"x32dbg.exe") != 0)
{
printf("被调试");
system("pause");
return 0;
}
} while (Process32Next(hSnap, &pe32));
CloseHandle(hSnap);
printf("一切正常");
system("pause");
return 0;
}
效果如下:
同样的道理,除了可以通过遍历进程名检检查是否有调试器开启,还可以遍历窗口名称,就像这一块:
这里用到函数FindWindow,函数介绍如下:
//检索顶级窗口的句柄,该窗口的类名称和窗口名称与指定的字符串匹配。此函数不搜索子窗口。此函数不执行区分大小写.
//的搜索。若要搜索子窗口,请从指定的子窗口开始,请使用 FindWindowEx 函数。
HWND FindWindowA(
[in, optional] LPCSTR lpClassName,
[in, optional] LPCSTR lpWindowName
);
[in, optional] lpClassName
类型: LPCTSTR
类名或上一次对 RegisterClass 或 RegisterClassEx 函数的调用创建的类名或类原子。原子必须位于 lpClassName 的低序单词中;高阶单词必须为零。
如果 lpClassName 指向字符串,则指定窗口类名。类名可以是向 RegisterClass 或 RegisterClassEx 注册的任何名称,也可以是预定义控件类名称中的任何名称。
如果 lpClassName 为 NULL,它将查找其标题与 lpWindowName 参数匹配的任何窗口。
[in, optional] lpWindowName
类型: LPCTSTR
窗口名称 (窗口的标题) 。如果此参数为 NULL,则所有窗口名称都匹配。
#include
#include
#include
int main()
{
HWND hWnd = NULL;
hWnd = FindWindow(NULL, L"x32dbg");
if (hWnd != NULL)
{
printf("被调试");
}
else {
printf("一切正常");
}
system("pause");
return 0;
}
注:这里单纯演示手法,在主函数中进行检测
1200
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
