windows反调试

最新推荐文章于 2024-09-11 20:39:26 发布

爱学习的大牛123

最新推荐文章于 2024-09-11 20:39:26 发布

阅读量928

点赞数 13

分类专栏： C/C++ 文章标签： windows

本文链接：https://blog.csdn.net/zhangyihu321/article/details/141075878

版权

1. 应用层反调试

1. 检测是否正在被调试（使用 IsDebuggerPresent API）：

```cpp
#include <Windows.h>

if (IsDebuggerPresent())
{
// 检测到调试器，执行相应操作
ExitProcess(0); // 或者其他操作
}
```

2. 使用 NtQueryInformationProcess 检测调试器：

```cpp
#include <Windows.h>
#include <winternl.h>

typedef NTSTATUS (WINAPI *pNtQueryInformationProcess)(
HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG);

bool IsBeingDebugged()
{
HANDLE hProcess = GetCurrentProcess();
PPEB pPeb = nullptr;
PROCESS_BASIC_INFORMATION pbi;
ZeroMemory(&pbi, sizeof(pbi));

pNtQueryInformationProcess NtQueryInformationProcess =
(pNtQueryInformationProcess)GetProcAddress(
GetModuleHandle(TEXT("ntdll.dll")),
"NtQueryInformationProcess");

if (NtQueryInformationProcess)
{
NTSTATUS status = NtQueryInformationProcess(
hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), nullptr);
if (NT_SUCCESS(status))
{
pPeb = pbi.PebBaseAddress;
return pPeb->BeingDebugged;
}
}
return false;
}
```

3. 检查调试端口：

```cpp
bool CheckRemoteDebuggerPresent()
{
BOOL isDebuggerPresent = FALSE;
CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebuggerPresent);
return isDebuggerPresent != FALSE;
}
```

4. 使用异常处理来检测调试器：

```cpp
bool DetectDebuggerViaException()
{
__try
{
RaiseException(EXCEPTION_BREAKPOINT, 0, 0, NULL);
}
__except(GetExceptionCode() == EXCEPTION_BREAKPOINT
? EXCEPTION_EXECUTE_HANDLER
: EXCEPTION_CONTINUE_SEARCH)
{
return false;
}
return true;
}
```