当然方法很多,比如TP的全局调试权限,DebugPort
下面只是我发现的比较好玩的
文章首发在mengwuji.net
知己知彼,百战百胜.
比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess 默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc0000712错误码 我们对它进行修改 修改成1 改完我们dt一下 看下是否改成功了 这个时候 打开PCH会看到显示此进程拒绝访问 以前是只要SSDT HOOK了就显示拒绝 现在是修改这个位 我们用Windbg附加会提示 |