一个简单的反调试方案——动态内存监测

最新推荐文章于 2024-04-17 19:45:54 发布
最新推荐文章于 2024-04-17 19:45:54 发布
阅读量144 收藏
点赞数
分类专栏: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42559271/article/details/117375815
版权

Windows API 内存检查 反调试技术 二进制分析 节区头
关键词由CSDN通过智能技术生成

记录一下

#include<stdlib.h>
#include<Windows.h>
#include<assert.h>
#include<stdio.h>
#include<string.h>
DWORD WINAPI CheckMemory(LPVOID Argv) {
	char* ProcessBase = (char*)GetModuleHandle(nullptr);
	char* CodeBuffer = 0;
	char* CodeBase=0;
	LONG  CodeLen;
	IMAGE_DOS_HEADER* Dos_Header = (IMAGE_DOS_HEADER*)ProcessBase;
	IMAGE_SECTION_HEADER* SECTION_HEADER = (IMAGE_SECTION_HEADER*)(Dos_Header->e_lfanew + ProcessBase+sizeof(IMAGE_NT_HEADERS));
	while (SECTION_HEADER->Characteristics)//任何一个字段为0都可以
	{
		if (!strcmp((char*)SECTION_HEADER->Name, ".text")) {
			CodeBuffer = new char[SECTION_HEADER->Misc.VirtualSize];
			CodeBase = SECTION_HEADER->VirtualAddress + ProcessBase;
			CodeLen = SECTION_HEADER->Misc.VirtualSize;
			memcpy(CodeBuffer, CodeBase, SECTION_HEADER->Misc.VirtualSize);
			
		}
		SECTION_HEADER++;
	}
	if (!CodeBase)
		return 0;
	
	unsigned long Number = 0;
	while (true)
	{
		if (memcmp(CodeBuffer, CodeBase, CodeLen)) {
			printf("I'm Anti-Debugger , Num:%ul!\n",Number++);
		}
	}
}
int main() {
	CreateThread(NULL, NULL, CheckMemory, NULL, NULL, NULL);
	while (true)
	{
		int a = 1;
	}
	int a = 5;

}
瓦斯监测数据联网——动态数据的实时传输
05-26
以VC++6.0为编程平台,利用Microsoft SQL Server ...介绍了整个联网系统的框架设计情况,重点论述了瓦斯动态数据的实时传输,为Web页面浏览提供实时准确的矿井瓦斯监测数据,最终实现煤矿管理部门对矿井的远程监控管理。
关于ccs软件的简单使用
m0_58603200的博客
04-18 9040
CCS软件应用实验 使用CCS5.5版本的程序。 目的: (1)导入既有CCS工程,编译、运行和调试DSP应用程序; (2)创建应用型工程、源文件和目标配置文件; (3)掌握CCS的基本调试步骤和内存数据观察方法。 界面: 注意右边CCS Edit表示界面是代码编辑界面: 注意左边选择CCS Debug表示代码调试界面: 一、创建一个Hello world简单程序:​ 1)Project->New CCS Project 2)按下图选择 Proj...
CCS中memory browser的data选项有什么用
m0_46792693的博客
04-17 652
总之,"Data"选项是Memory Browser中的一个基础且非常关键的功能,它使得开发者能够方便地查看和修改内存中的数据,对于理解程序的内存使用和调试都是非常有帮助的。当你想要查看特定内存地址或内存区域中存储的数据时,可以使用"Data"选项。如果你知道内存中的数据遵循特定的结构或格式(例如,一个数组或结构体),"Data“选项可以帮助你按照这些结构来查看和编辑数据。在有符号信息的情况下,"Data"选项可以帮助你理解符号名称对应的内存地址中存储的数据,而不必直接处理内存地址。
CCS使用教程06:在线仿真操作
热门推荐
iFTrue电力电子专栏
12-18 1万+
目录 01 CCS的介绍、下载与安装 1 CCS的介绍 2 下载 3 安装 02 创建一个CCS工程 1 工作空间 2 创建一个新的CCS工程 3 编译与生成 03 工程导入 1 前面的话 2 导入工程 3 完整工程的结构 04 程序烧写与仿真 1 目标配置文件CCXML 2 连接仿真器 3 烧写程序(装载程序) 4 在线仿真 05 CCS8.0常用菜单 1 CCS编辑界面与调试界面 2 编译 3 搜索 4 打开窗口 ...
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 365
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试
weixin_39908263的博客
11-26 1136
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
中国电信——大气质量动态监测大数据平台介绍.pptx
05-24
打造佛山大气质量动态监测大数据平台---低的成本,大幅提高环境监测点密度,通过传感器结合最新云技术监测系统,既能够解决资金投入问题,满足测量精度,构建前端高性价比的PM2.5、PM10、空气质量等大气境质量特征...
工地环境监测系统——智慧工地解决方案.docx
06-21
工地环境监测系统——智慧工地解决方案.docx
工地环境监测系统——智慧工地解决方案.doc
05-21
工地环境监测系统——智慧工地解决方案.doc
环境监测神器——智慧环境监测数据可视化平台
01-20
之前写过超市营业额监测平台和数据采集监控平台,本次继续推出一款新品——智慧环境监测数据可视化平台,以下为这款大屏全貌: 平台应用大数据技术,对设备周围环境进行24小时无人值守监测,目前监测项目包括: ...
AntiDebugandMemoryDump:Android的调试内存转储
03-04
调试内存转储 Android的调试内存转储 此项目中使用了一些已知的调试内存转储技术。 重点是在不依赖Java API的情况下以隐身方式使用这些技术。 以下是使用的技术 Java的调试 JDWP在/ proc / self / task / comm和每个任务/ proc / self / task // comm中的存在表明该应用程序是可调试的。 本机调试 在/ proc / self / status和每个任务/ proc / self / task // status中检查TracerPid!= 0 记忆转储 防内存转储对于防止应用程序通过frida或或任何其他方式进行内存转储很有用。 监视以下文件 / proc / self / maps / proc / self / mem / proc / self / pagemap / proc /自我/任务
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1825
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
调试技术总结(看雪)
eli的博客
12-07 3125
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
Linux测试杂项设备节点的生成,并对其测试
橙子的博客
09-02 415
这里为了方便调试和移植,统一采用mod的形式注册设备和驱动 实际应用应该注意在平台中编译进内核,而非.ko文件的模块加载 首先我们要先在总线上注册一个设备 下面贴用模块注册设备的代码 #include <linux/init.h> #include <linux/module.h> #include <linux/platform_device.h> ...
Windows 下常见的调试方法
r250414958的博客
11-15 1196
稍稍总结一下在Crack或Rervese中比较常见的一些调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。 ①最简单也是最基础的,Windows提供的API接口: IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。 if (IsDebuggerPresent()) //API接口 { ...
26种对付调试的方法
weixin_34235371的博客
05-15 4580
2019独角兽企业重金招聘Python工程师标准>>> ...
微信Java开发工具包,支持包括微信支付、开放平台、公众号、企业微信、视频号、小程序等微信功能模块的后端开发
最新发布
11-15
微信Java开发工具包,支持包括微信支付、开放平台、公众号、企业微信、视频号、小程序等微信功能模块的后端开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值