反調試——5——檢測調試對象 有一些內容采用的是WRK里面的定義。因為這個算是沒有公開的文檔，公開的不能這樣使用。 查詢父進程實現反調試 正常打開（雙擊運行）的程序的父進程是explorer.exe（資源管理器）（Windows的內置機制），通過查詢父進程的ID是否 ...

前面有一兩篇博文介紹過frida，對於做安全和逆向的朋友來說，那簡直就是象棋里“車”的存在，走哪殺哪，所以這也對做安全的人來說，肯定也會針對frida做一定的反制，以下就是轉載的檢測frida的方法，原貼鏈接：點我 Frida 在逆向工程獅中很受歡迎，你基本可以在運行時訪問到你能想到 ...

反調試——8——虛擬機檢測 其實虛擬機檢測也無外乎就是檢測一些虛擬機特有的特征，然后來判斷是否是在虛擬機里面，比如說這里（查看系統中運行的服務）： 但是不能直接盲目的通過VMware這六個關鍵字母就判斷是在虛擬機里面了，因為你的電腦如果開了虛擬機，也會有一些VMware開頭 ...

重所周知，有破解就必有防破解，二者本為一體 破解技術就不要我多介紹了，下面我來介紹反調試技術 也就是所謂的防破解技術 反調試技術可以簡單通俗的理解為：防止OD分析軟件的技術，也就是反調試技術 那么反調試技術又有幾種呢？ 下面我介紹幾種常用反調試技術 首先聲明，下面有一部分內容來源百度，若有 ...

反調試 1. IsDebuggerPresent() 該函數讀取當前進程的PEB里BeingDebugged的值用於判斷自己是否處於調試狀態 BOOL APIENTRY IsDebuggerPresent(VOID) { return NtCurrentPeb ...

目錄 反調試與反反調試 什么是反調試？ 什么是反反調試？ 靜態反調試 動態反調試 OllyDbg插件編寫 反調試與反反調試 什么是反調試？ 什么是反反調試？ 靜態反調試 特點：一般在調試開始時阻攔調試 ...

反調試——11——檢測TF標志寄存器 在intel的x86寄存器中有一種叫標志寄存器： 標志寄存器中的TF（Trap Flag）位,CPU在執行完一條指令后，如果檢測到標志寄存器的TF位為1，則會產生一個int 1中斷，然后再將TF置為0，后進行int 1中斷后繼續執行 ...

靜態反調試 反調試技術知識點 TEB 線程環境塊 TEB 是個結構體 TEB結構中的兩個重要成員 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...