不是烂大街的反调试源码分享-真正的软件安全保护源码
当前 Windows 平台下的反反调试插件,如 ScyllaHide,已经对常见的反调试 API 提供了较为周全的绕过:IsDebuggerPresent 返回 FALSE
NtQueryInformationProcess 检查调试端口时返回空
PEB 的 BeingDebugged 标志被清除
父进程信息可随意伪造
GetForegroundWindow、OutputDebugString 等 API 被 Hook
如果检测逻辑完全建立在上述 API 之上,那么在实际对抗中基本失效。为了摆脱这一困境,本文尝试一种新思路:不检查进程自身,而是去检查程序启动那一瞬间,桌面环境的前台焦点窗口属于谁。
用户从资源管理器双击启动程序时,启动瞬间的前台 GUI 线程必然属于 explorer.exe。而由调试器启动时,这一条件不成立。这个差异更难被反反调试插件消除,因为它涉及的不是进程内部状态,而是运行环境的瞬时快照。
模块说明:觅风模块.ec 请自行添加 另一个模块如果实际使用不加VMP壳可以直接删除 不影响运行
、
**** Hidden Message ***** 的法国风格化规范化 好东西,一定要进行学习 学习了!!!! 很给力。。。。很喜欢 感谢分享!
页:
[1]