C/C++检测进程是否被调试

最新推荐文章于 2023-10-04 10:01:19 发布
最新推荐文章于 2023-10-04 10:01:19 发布
阅读量2.6k 收藏
点赞数
分类专栏: C/C++ 文章标签: 调试 异常 api c语言 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19459853/article/details/50196669
版权

程序使用API SetUnhandledExceptionFilter 来注册一个未处理异常的函数1,如果进程没有被调试,那么会触发一个未处理异常,导致操作系统会将控制权交给函数1。如果进程被调试,则调试器会捕捉这个未处理异常。这样,我们的函数1也就不会被执行了。

这里在触发异常时,则是跳回原来的代码来执行,而不会退出程序。

UnhandledExceptionFilter 这个函数修改了EIP的值,在参数_EXCEPTION_POINTERS中,保存了触发异常的指令地址。所以根据这个指令地址修改寄存器中EIP的值就可以了。

如果写成控制台程序,则这个控制台程序要支持MFC。 我的IDLE是VS2012。

#include "stdafx.h"
#include "ConsoleApplication66.h"

#ifdef _DEBUG
#define new DEBUG_NEW
#endif


CWinApp theApp;

using namespace std;
LONG WINAPI UnhandledExceptionFilter(struct _EXCEPTION_POINTERS *pei);
bool UnhandledExceptionFilterApproach();
int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])
{
	int nRetCode = 0;

	HMODULE hModule = ::GetModuleHandle(NULL);

	if (hModule != NULL)
	{
		if (!AfxWinInit(hModule, NULL, ::GetCommandLine(), 0))
		{
			_tprintf(_T("错误\n"));
			nRetCode = 1;
		}
		else
		{
			if(!UnhandledExceptionFilterApproach())
			{
				puts("Hello World!");
				printf("Press any key to continue");
				getchar();
			}
			return 0;
		}
	}
	else
	{
		_tprintf(_T("错误: GetModuleHandle 失败\n"));
		nRetCode = 1;
	}

	return nRetCode;
}
LONG WINAPI UnhandledExceptionFilter(struct _EXCEPTION_POINTERS *BlackDragon)
{
	SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)BlackDragon->ContextRecord->Eax);
	BlackDragon->ContextRecord->Eip += 2;
	//继续执行进程剩余指令
	return EXCEPTION_CONTINUE_EXECUTION;
}
bool UnhandledExceptionFilterApproach()//检测调试器
{
	SetUnhandledExceptionFilter(UnhandledExceptionFilter);
	__asm
	{
		//初始化
		xor eax,eax
		//触发异常
		div eax
	}
	return false;
}

_KaQqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
process monitor 进程监测工具
12-29
可以监测进程,计算机安全人员必备的工具. Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
C++检测自己是否调试
lovehuanhuan1314的专栏
05-11 3126
检测自己是否调试主要有调用API和获取PEB标志 PEB标志主要检测BeingDebugged 和NtGlobalFlag ,当然检测一个就行了,一般来说如果一个被调试器的反检测调试功能修改那另外的一般也跑不了,对于x86 PEB读取 fs[0x30]即可,对于x64读取gs[0x60]即可,BeingDebugged的偏移为固定的0x002,NtGlobalFlag因为两者结构不一样所以偏移也不一样x86:0x68 x64:0xbc。NtGlobalFlag如果被调试其值为0x70。 而API有.
[C++]使用FS寄存器判断进程是否调试
tzwsoho的专栏
07-15 1342
昨天研究了一下IsDebuggerPresent这个函数的实现代码,发现真的很简单,只有区区4行:mov eax, dword ptr fs:[018H] mov eax, dword ptr [eax + 030H] movzx eax, dword ptr [eax + 02
GetStartupInfo检测程序处于被调试状态
风信子的专栏
10-08 697
#include windows.h>#include stdio.h>#pragma comment(linker, "/subsystem:windows /entry:main")int main()...{  STARTUPINFO si;    GetStartupInfo(&si);  if (     (si.dwX != 0) ||    (si.dwY != 0) ||    (
如何检测程序是否调试
Y___Y的专栏
09-11 5769
 如何检测程序是否调试,其实很简单,几行代码就行了,常应用于软件防破解等方面,但对于某些调试器而言无效(比如改进的OllyDbg--OllyICE)。下面是C+asm代码,大家可以试试。#include #include int IsDebugged(){    __asm    {        mov eax, fs: [30h] //获取线程环境块中对应的进程环境块的地址        m
C/C++ 进程无模块内存注入[x86/x64]
05-30
本文将深入探讨“C/C++ 进程无模块内存注入[x86/x64]”这一主题,涵盖Windows下的R3无模块注入技术,以及如何实现对x86和x64架构的通用支持。 首先,我们要理解什么是“进程无模块内存注入”。通常,内存注入涉及到...
cotfigurktion.rar_进程与线程_C/C++_
08-10
在"cotfigurktion.rar_进程与线程_C/C++_"这个压缩包中,我们可以找到关于这两个主题的资源,特别是涉及到CRC16串行通讯校验算法的应用。 首先,让我们深入理解进程与线程的概念。进程是操作系统分配资源的基本单位...
完整版检测软件是否调试[源码].rar
04-02
这个“完整版检测软件是否调试[源码]”的压缩包可能包含了一套完整的源代码和相关资源,用于实现这样的检测功能。下面,我们将详细探讨这个主题的相关知识点。 1. **调试基础知识**: - 调试器:调试器是程序员...
C++x64内核保护进程.zip_Windows编程_C/C++__Windows编程_C/C++_
08-09
3. **进程保护**:保护进程通常是指防止未经授权的访问或修改进程,这可能涉及到权限管理、钩子检测、反调试技术等。例如,通过设置进程的访问权限、监控异常行为或者使用内核级别的钩子来防止其他进程篡改目标进程...
5game.rar_C/C++_
08-12
C/C++是两种广泛使用的编程语言,C语言是基础,注重效率和对底层硬件的控制;而C++则在其基础上增加了面向对象的特性,提供了更高级的抽象。它们在游戏开发中常被用于构建高性能的游戏引擎和逻辑。 二、俄罗斯方块...
CloseHandle反调试_检测调试器原理
03-02
调试调试检测、保护自己的程序不被调试和分析
C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)
墨鱼菜鸡
09-19 210
终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以...
判断当进程是否调试
最新发布
qq_55299985的博客
10-04 254
_asm { // 进程的PEB mov eax, fs:[30h] // 进程的堆,我们随便访问了一个堆,下面是默认的堆 mov eax, [eax + 18h] // 检查ForceFlag标志位,在没有被调试的情况下应该是 mov eax, [eax + 10h] mov result, eax } return result!
【操作系统01】C语言利用CerateProcess创建进程
shaocong_mo的专栏
09-27 1570
转载请注明出处: CreatProcess
C++判断某进程是否运行的函数
sailorPan
06-22 5753
在C/S架构的项目中,经常需要判断某进程【XXX.exe】是否在运行,亲测可用,把源码分享出来,一起学习!BOOL IsExistProcess(const char* szProcessName) { PROCESSENTRY32 processEntry32; HANDLE toolHelp32Snapshot = CreateToolhelp32Snapshot(TH32CS_SNAP...
判断程序是否调试状态
weixin_30530523的博客
02-09 651
public LoginForm() { InitializeComponent(); //判断是否调试状态 Process currentProcess = Process.GetCurrentProcess();//获取当前进程 //获取当前运行程序完全限定名 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值