26种对付反调试的方法

发布时间：2019-03-22 04:10:04 所属栏目：建站来源：luochicun

导读：副标题#e# 目前主要有3种分析软件的方法： 1.数据交换分析，研究人员使用数据包嗅探工具来分析网络数据交换。 2.对软件的二进制代码进行反汇编，然后以汇编语言列出。 3.字节码解码或二进制解码，然后以高级编程语言重新创建源代码。本文针对的是Windows操

如果我们来看看NtQueryInformationProcess文档，那么这个Assembler列表将向我们展示CheckRemoteDebuggerPresent函数获取DebugPort值，因为ProcessInformationClass参数值（第二个）为7，以下反调试代码就是基于调用NtQueryInformationProcess：

typedef NTSTATUS(NTAPI *pfnNtQueryInformationProcess)( 
    _In_      HANDLE           ProcessHandle, 
    _In_      UINT             ProcessInformationClass, 
    _Out_     PVOID            ProcessInformation, 
    _In_      ULONG            ProcessInformationLength, 
    _Out_opt_ PULONG           ReturnLength 
    ); 
const UINT ProcessDebugPort = 7; 
int main(int argc, char *argv[]) 
{ 
    pfnNtQueryInformationProcess NtQueryInformationProcess = NULL; 
    NTSTATUS status; 
    DWORD isDebuggerPresent = 0; 
    HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll")); 
     
    if (NULL != hNtDll) 
    { 
        NtQueryInformationProcess = (pfnNtQueryInformationProcess)GetProcAddress(hNtDll, "NtQueryInformationProcess"); 
        if (NULL != NtQueryInformationProcess) 
        { 
            status = NtQueryInformationProcess( 
                GetCurrentProcess(), 
                ProcessDebugPort, 
                &isDebuggerPresent, 
                sizeof(DWORD), 
                NULL); 
            if (status == 0x00000000 && isDebuggerPresent != 0) 
            { 
                std::cout << "Stop debugging program!" << std::endl; 
                exit(-1); 
            } 
        } 
    } 
    return 0; 
}

如何避开CheckRemoteDebuggerPresent和NtQueryInformationProcess

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

13/32

首页

尾页