自己在看到一些没见过的反调试技术时,感觉很好奇,不清楚时如何反调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些反调试手段,这样后面大家如果碰到类似的反调试技术时,都会很容易理解这段恶意代码的作用了。
1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境
2、下图中的v3的地址指向的字符串是python.exe,其实sub_401cde函数中是在遍历当前进程中是否有python.exe,这是在检测当前环境是否是在Cuckoo Sandbox中运行
3、下图中lpModuleName = "sbiedll.dll",通过检测当前环境中是否能得到sbiedll.dll模块基址,从而判断它是否运行在Sandboxie环境中
4、摘抄别处的提到的反调试技术
1)BlockInput()函数的调用:该函数在调试会话期间有效&#