[讨论]关于具有反调试功能的程序的调试方法
议题作者:nullstudio信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
运行 CE ,打开程序主文件,就马上弹出这个对话框
---------------------------
SnailGame AntiCheat
---------------------------
A debugger has been found running in your system.
Please, unload it from memory and restart your program.
---------------------------
确定
---------------------------
请问有什么方法能强制进行调试不? 检测调试器有很多方法,针对不同的方法有不同的绕过方法,比方
用IsDebuggerPresent api检测调试器
就可以用hook 函数的方法绕过 有些调试器的插件或自带的隐藏调试器功能.
你所指的没有碰到过. 一般检测被调试的方法有:
1.检测当前进程列表
比如有的反调试就是检测当前进程中有没有调试器的进程名,比如"Ollydbg"等.
2.检测父进程
因为正常情况下,所有用户程序的父进程都应该是Explorer.exe,如果不是,那么就可以是被调试了.
3.检测调试器标志
如1楼所说.
我就知道这些了,呵呵.
页:
[1]