反调试——5——检测调试对象 有一些内容采用的是WRK里面的定义。因为这个算是没有公开的文档，公开的不能这样使用。 查询父进程实现反调试 正常打开（双击运行）的程序的父进程是explorer.exe（资源管理器）（Windows的内置机制），通过查询父进程的ID是否 ...

前面有一两篇博文介绍过frida，对于做安全和逆向的朋友来说，那简直就是象棋里“車”的存在，走哪杀哪，所以这也对做安全的人来说，肯定也会针对frida做一定的反制，以下就是转载的检测frida的方法，原贴链接：点我 Frida 在逆向工程狮中很受欢迎，你基本可以在运行时访问到你能想到 ...

反调试——8——虚拟机检测 其实虚拟机检测也无外乎就是检测一些虚拟机特有的特征，然后来判断是否是在虚拟机里面，比如说这里（查看系统中运行的服务）： 但是不能直接盲目的通过VMware这六个关键字母就判断是在虚拟机里面了，因为你的电脑如果开了虚拟机，也会有一些VMware开头 ...

重所周知，有破解就必有防破解，二者本为一体 破解技术就不要我多介绍了，下面我来介绍反调试技术 也就是所谓的防破解技术 反调试技术可以简单通俗的理解为：防止OD分析软件的技术，也就是反调试技术 那么反调试技术又有几种呢？ 下面我介绍几种常用反调试技术 首先声明，下面有一部分内容来源百度，若有 ...

反调试 1. IsDebuggerPresent() 该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 BOOL APIENTRY IsDebuggerPresent(VOID) { return NtCurrentPeb ...

目录 反调试与反反调试 什么是反调试？ 什么是反反调试？ 静态反调试 动态反调试 OllyDbg插件编写 反调试与反反调试 什么是反调试？ 什么是反反调试？ 静态反调试 特点：一般在调试开始时阻拦调试 ...

反调试——11——检测TF标志寄存器 在intel的x86寄存器中有一种叫标志寄存器： 标志寄存器中的TF（Trap Flag）位,CPU在执行完一条指令后，如果检测到标志寄存器的TF位为1，则会产生一个int 1中断，然后再将TF置为0，后进行int 1中断后继续执行 ...

静态反调试 反调试技术知识点 TEB 线程环境块 TEB 是个结构体 TEB结构中的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...