26种对付反调试的方法

Trap Flag（陷阱标识）位于EFLAGS寄存器内，如果TF设置为1，CPU将在每个指令执行后产生INT 01h或单步异常(single-step exception)。以下就是基于TF设置和异常调用检查的反调试：

BOOL isDebugged = TRUE; 
__try 
{ 
    __asm 
    { 
        pushfd 
        or dword ptr[esp], 0x100 // set the Trap Flag  
        popfd                    // Load the value into EFLAGS register 
        nop 
    } 
} 
__except (EXCEPTION_EXECUTE_HANDLER) 
{ 
    // If an exception has been raised – debugger is not present 
    isDebugged = FALSE; 
} 
if (isDebugged) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
} 

这里TF有意设置为生成异常。如果正在调试进程，则异常将被调试器捕获。

如何避开陷阱标识检查

为了在调试过程中避开TF标识检查，应该将pushfd指令传递给单步异常，但要跳过它，将断点置后，继续执行程序。断点后，跟踪可以继续。

CheckRemoteDebuggerPresent和NtQueryInformationProcess

与IsDebuggerPresent函数不同，CheckRemoteDebuggerPresent会检查一个进程是否被另一个同步进程调试。下图就是一个基于CheckRemoteDebuggerPresent的反调试技术：

int main(int argc, char *argv[]) 
{ 
    BOOL isDebuggerPresent = FALSE; 
    if (CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebuggerPresent )) 
    { 
        if (isDebuggerPresent ) 
        { 
            std::cout << "Stop debugging program!" << std::endl; 
            exit(-1); 
        } 
    } 
    return 0; 
} 

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!