反调试——CheckRemoteDebuggerPresent

大雄_RE

已于 2023-06-20 15:11:12 修改

阅读量1.1k

点赞数

分类专栏：反调试

于 2021-10-21 12:47:12 首次发布

本文链接：https://blog.csdn.net/shadow20080578/article/details/120884167

版权

反调试软件保护

反调试专栏收录该内容

2 篇文章 0 订阅

订阅专栏

原理：它不仅可以探测系统其他进程是否被调试，通过传递自身进程句柄还可以探测自身是否被调试。
这个函数的核心代码只有一句话，就是对NtQueryInformationProcess的调用，通过NtQueryInformationProcess(ProcessDebugPort)实现。

检测函数样例：

BOOL CheckDebug()  
{  
    BOOL ret;  
    CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret);  
    return ret;  
}

欢迎关注我的微博：大雄_RE。专注软件逆向，分享最新的好文章、好工具，追踪行业大佬的研究成果。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

大雄_RE

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

180307 逆向-反调试技术（2）CheckRemoteDebuggerPresent

whklhhhh的博客

03-23

1556

1625-5 王子昂总结《2018年3月7日》【连续第522天总结】 A. 反调试技术（2） B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数，测试发现及时修改Be...

异常和中断——调试与反调试

逆向学习

09-20

456

文章目录使用PEB进行反调试使用PEB中的BeginDebug字段来检测是否处于调试环境。使用 IsDebuggerPresent()来判断是否是处于调试环境。检测PEB的GLobal来判断是否处于调试环境使用 NtMyQueryInformationProcess进行反调试使用ProcessDebugPort使用ProcessDebugObjectHandle使用ProcessDebugFlag...

参与评论您还未登录，请先登录后发表或查看评论

反调试功能<CheckRemoteDebuggerPresent>

weixin_30388677的博客

09-19

349

CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在，而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明： __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...

CheckRemoteDebuggerPresent反调试

sanqiuai的博客

08-26

771

# include<Windows.h> # include<stdio.h> BOOL CheckDebug() { BOOL isDebugged; CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebugged); return isDebugged; } int main() { while (1) { if (CheckDebug()) { MessageBox(0, L"软件正在被调

反调试 - CheckRemoteDebuggerPresent

LYSM

07-04

614

和 IsDebuggerPresent 差不多简单的反调试技术 ???? BOOL bIsDbgPresent = FALSE; if(CheckRemoteDebuggerPresent(GetCurrentProcess(), &bIsDbgPresent) != 0){ if(bIsDbgPresent == TRUE){ cout << "发现调试器" << endl; } else{ cout << "没有调试器" << end

遇见你我该如何逃避你——反调试技术概述

weixin_43742894的博客

04-02

466

本篇文章用来总结大概的反调试技术，并不详细，仅作概述。反调试技术恶意代码和一些软件用来防止代码被动态调试的一项技术。一、探测Windows调试器通过调试的痕迹去识别是否正在被调试。 1.WindowsAPI 1.1 IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中，函数返回0；如果调试...

windows下的反调试探究——调用API

星星我啊，已经很努力在学习了，有人一起学习吗？Ziansec-1

03-04

862

那么可以用代码进行判断如下，若返回为TRUE则处于调试状态，若返回FALSE则未处于调试状态。那么这里为了更明显一点，首先看下QQ的PID是3872对应十六进制为F20是能够对应上的。(不考虑服务进程)，而当我们处于调试状态则父进程为调试器进程，那么我们就可以通过。是微软未公开的一个API，目前只能够通过一些结构的名字和逆向的方式来推断用途。因为这里检测的是否启用内核调试，这里直接运行是不处于调试状态。的相反数，当调试器存在时，返回值为0，不存在时则返回1。字段，当进程正在被调试时，返回值为。

2020安洵杯——EasyCM WriteUP

qq_43547885的博客

01-23

681

文章目录概述详细反调花指令SMC写脚本解密最近犯懒，没看新题，想起来之前安洵杯做过一道 SMC + 反调试的题，当时是动调 + 瞎蒙做出来的，今天来整理一下里面的知识点题目链接：https://github.com/D0g3-Lab/i-SOON_CTF_2020/tree/main/re/EasyCM 需要用到的 IDA 插件（能够简化大量操作）：IDACode & IDAPython 概述入口点: 这题用到了 TLSCallback 在 main 函数前执行各种解密操作, 在 IDA

anti-debug1——侦测

40KO的博客

01-23

440

BeingDebugged标记最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了，它返回一个标志位BeingDebugged，这个标志位存在于PEB(进程环境块)中，偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()->BeingDebugged; } 要找到BeingDebugged在当前进...

易语言反调试模块

08-11

易语言反调试模块,用户层强力反调试

对于反调试的研究一

03-09

反调试在代码保护中扮演着很重要的角色，虽然不能完全阻止攻击者，但是还是能加大攻击者的时间成本，一般与加壳结合使用，核心还是加壳部分。

Check Debugger Present

free2o的专栏

12-12

1804

#include "AntiDebug.h" #include #include #include #include #include "thread.h" #include #if 0 Windows allow you to call the CreateProcess function with CREATE_SUSPENDED flag, that tells the

反调试 - IsDebuggerPresent

LYSM

07-04

415

目前这个是我知道的最简单的反调试方法了 ???? if(IsDebuggerPresent() == 0){ cout << "没有调试器" << endl; } else{ cout << "发现调试器" << endl; }

Windows反调试技术学习

Sciurdae的博客

01-01

1464

元旦快乐！！！只是粗浅的两天的一点笔记和实践记录。加解密一书每一章应该都要来回啃上几遍才能理解，书中好多还是不懂的，只能先学能理解的，后面再继续深入了。下一个该学异常处理了，学完就把这一次笔记的关于异常的反调试补上。ε=(´ο｀*)))，元旦快乐！

网络靶场实战-反调试技术(上）