关键词：

　　　　　　　　　　　　　　反调试手法之CreateProcess反调试

在学习Win32 创建进程的时候.我们发现了有一个进程信息结构体. STARTUPINFO. 这个结构体可以实现反调试.

具体CreateProcess可以参考上一篇博客.:  https://www.cnblogs.com/iBinary/p/9571577.html

一丶实现反调试需要的东西.

假设我们要实现反调试. 那么我们需要一个API

GetStartupInfo (STARTUPINFO)  使用此API可以在进程启动的时候获取启动信息结构体

二丶实现反调试的具体思路

　　1.我们的程序中调用Getstartupinfo API来获取启动时的启动信息.

　　2.判断启动信息结构体的值.是否是我们预期的.如果不是在调用 ExitProcess结束进程.

　　3.如果是调试器启动我们的程序.那么启动信息结构体的信息肯定是不同了.我们可以做实验.

测试:

　　如果是桌面管理器打开. 

如果是调试器打开.

三丶编码实现反调试

代码很简单.如下.

#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>

int main()

    STARTUPINFO si;
    si.cb = sizeof(si);

    GetStartupInfo(&si);

    if (si.dwFlags != 1)
    
        ExitProcess(0);
    
    printf("程序没有被反调试
");
    system("pause");
    return 0;

测试. 没有反调试的时候打开.

调试器打开. PS: 调试器打开会退出. 并且不会输出内容. 这个属于简单的反调试.如果不知道有可能也过不了. 当然攻防对抗.看谁的基础扎实. 谁更厉害了.

《逆向工程核心原理》学习笔记：反调试技术(代码片段)

目录前言一、反调试技术概况二、静态反调试技术1、PEB2、NtQueryInformationProcess()（1）ProcessDebugPort(0x7)（2）ProcessDebugObjectHandle(0x1E)（3）ProcessDebugFlags(0x1F)（4）例子（5）破解之法3、NtQuerySystemIn... 查看详情

ios逆向笔记之反调试以及反反调试和反反反调试ptrace篇

参考技术A1.ptrace(processtrace进程跟踪)为了方便软件的开发和调试,UNIX早期版本就提供了一种对运行进程进行跟踪和控制的手段,那就是系统调用ptrace.通过ptrace可以实现对另一个进程实现调试和跟踪.同时,ptrace提供了一个非常有用的... 查看详情

javascript奇淫技巧：反调试

JavaScript奇淫技巧：反调试本文，将分享几种JS代码反调试技巧，目标是：实现防止他人调试、动态分析自己的代码。检测调试，方法一：用console.log检测代码：varc=newRegExp("1");c.toString=function()alert("检测到调试")console.log(c);原理：... 查看详情

一种基于tls的高级反调试技术(代码片段)

...越引起人们的重视。在反盗版技术中，起最大作用的当属反调试技术。然而传统的反调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取反调试手段。实际上在反调试代码被执行前，调试器有大量的时间来影响程序... 查看详情

过反调试

...二者本为一体破解技术就不要我多介绍了，下面我来介绍反调试技术也就是所谓的防破解技术反调试技术可以简单通俗的理解为：防止OD分析软件的技术，也就是反调试技术那么反调试技术又有几种呢？下面我介绍几种常用反调... 查看详情

反调试-checkremotedebuggerpresent

和IsDebuggerPresent差不多简单的反调试技术 查看详情

反调试-isdebuggerpresent

目前这个是我知道的最简单的反调试方法了 查看详情

reverse新160个crackme之116-rem-keygenme#10——脱壳去背景音乐识别反调试(代码片段)

文章目录依赖PETools查看概况手动脱壳去背景音乐分析有反调试哦代码参考资料依赖IDA版本为7.7。PETools查看概况32位程序，Section:[TDC1],EP:0x0001E730，有壳且暂时不知道是什么壳。这个exe需要手动脱壳、去背景音乐、有反调试... 查看详情

《逆向工程核心原理》学习笔记：反调试技术(代码片段)

目录前言一、反调试技术概况二、静态反调试技术1、PEB2、NtQueryInformationProcess()（1）ProcessDebugPort(0x7)（2）ProcessDebugObjectHandle(0x1E)（3）ProcessDebugFlags(0x1F)（4）例子 查看详情

《逆向工程核心原理》学习笔记：反调试技术(代码片段)

目录前言一、反调试技术概况二、静态反调试技术1、PEB2、NtQueryInformationProcess()（1）ProcessDebugPort(0x7)（2）ProcessDebugObjectHandle(0x1E)（3）ProcessDebugFlags(0x1F)（4）例子 查看详情

反调试

反调试IsDebuggerPresent()__readgsqword(0x60)得到指向PEB64的指针，pPeb->BeingDebugged.__readfsdword(0x30)CheckRemoteDebuggerPresent(GetCurrentProcess(),&bIsDbgPresent)BOOL HeapFlags()，64位下，得到指向PEB的地址加 查看详情

手工脱壳之pespin加密壳she链硬件反调试iat重定向混淆+花指令(代码片段)

一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，IDA，UniversalImportFixer，OllySubScript此篇是加密壳的第二篇，更详细的步骤和思考，请查看第一篇：手工脱壳之未知加密壳【IAT加密+混淆+花指令】PESpin壳：   ... 查看详情

elf反调试初探

ELF反调试初探http://www.freebuf.com/sectool/83509.html ELF(ExecutableandLinkableFormat)是Unix及类Unix系统下可执行文件、共享库等二进制文件标准格式。为了提高动态分析的难度，我们往往需要对ELF文件增加反调试措施。本文便对相关技术进... 查看详情

ida动态调试破解alicrackme与反调试对抗(代码片段)

文章目录前言APK破解(上)1.1静态分析1.2动态分析反调试对抗2.1Ptrace2.2全局调试2.3反反调试APK破解(下)3.1重新编译3.2动态调试总结前言在前面的文章中IDA动态调试破解EXE文件与分析APK流程介绍了IDA对APK进行动态调试分析的简单流程&#... 查看详情

.NET：如何隔离反调试类库？

】.NET：如何隔离反调试类库？【英文标题】：.NET:Howtoisolateananti-debuggingclasslibrary?【发布时间】：2022-01-2212:28:51【问题描述】：我构建了一个.NET类库并使用混淆器通过反调试对其进行混淆。我使用我的混淆类库构建了一个测试项... 查看详情

c++反调试（基于seh的setunhandledexceptionfilter）

终于！终于把静态反调试串了一遍，虽然没有包含全部但是也对反调试的轮廓有了初步的认识。但是这一切才刚刚开始，翻过一座山（坑），还有另一座山（坑）在等着你?刚发现csdn还有个发表情的功能，这就是传说中的彩蛋吗... 查看详情

java层反调试

...调式，在build.prop(boot.img),ro.debugable=1。一：实例演示java层反调试以“百度加固”为例。1.将样本拖入jdax-gui中，进行反编译,来到加固程序的onCreate里，如下图所示。2 查看详情

android反调试实践(代码片段)

（一）xposed检测1.每一个被hook的进程，都会将xposed的相关库文件和jar文件加载到相应的进程空间中，如图：这里看到进程空间中加载了1）app_process32_xposed2）libxposed_art.so3）XResourcesSuperClass.dex既然能... 查看详情