觅风论坛

标题: 程序利用内存工作集检测非法访问来实现OD或CE反调试源码分享 [打印本页]

作者: MatthewAsync 时间: 2025-8-6 10:37
标题: 程序利用内存工作集检测非法访问来实现OD或CE反调试源码分享
实现原理：创建一个特定的“陷阱”内存页，然后将其从进程的**工作集（Working Set）**中清除。

创建陷阱内存：
程序使用 VirtualAlloc 分配一块 4096 字节的内存区域作为“陷阱”。

清除工作集：
调用 EmptyWorkingSet，将所有内存页从物理内存中移除。此时，陷阱内存页的 Valid 标志位变为 0。

循环检测：
程序使用 QueryWorkingSetEx 持续监控陷阱内存页的状态。通过位运算（位与 (PWINFO.PSAPI_WORKING_SET_EX_BLOCK, 1)）来检查 Valid 标志。

检测非法访问：
一旦有调试器或 Hook 程序尝试访问这块内存，Windows 会触发缺页中断，并将该页面重新加载到物理内存。这时，Valid 标志就会从 0 变为 1。

触发警报：
程序检测到 Valid 标志变为 1 后，会立即弹窗并结束程序，从而实现反调试。

360截图20250806103703280.jpg

作者: pei002 时间: 2025-8-6 18:09
这个资源我一直想要

作者: 360403967 时间: 2025-8-7 01:40
人设人阿松大

作者: qq1354596367 时间: 2025-8-7 09:12
这就是传说中的好资源吗？赶紧看看去！

作者: Hacker 时间: 2025-8-7 16:43
谢谢楼主的辛苦分享

作者: 哦美国 时间: 2025-8-8 00:15
感谢您的无私精神...

作者: sdajhdjannda 时间: 2025-8-8 04:31
9999999999999999

作者: wfagf 时间: 2025-8-8 08:48
提示: 作者被禁止或删除内容自动屏蔽

作者: 476572199 时间: 2025-8-8 13:05
这个好好支持一下

作者: yu1616 时间: 2025-8-8 17:22
顶起很好的帖

作者: sada 时间: 2025-8-8 21:38
赞一个!

作者: wang798403789 时间: 2025-8-9 00:43
我知道错了，感谢大神分享

作者: 白贝勒 时间: 2025-8-9 03:48
觅风论坛需要你

作者: 呵呵 时间: 2025-8-9 06:53
谢谢楼主，，，收藏ing

作者: 霸王喝粥 时间: 2025-8-9 09:58
不错！顶LZ

作者: 565562216 时间: 2025-8-9 13:03
很不错的哦，支持，加油

作者: lin845735523 时间: 2025-8-11 09:56
6666666666666666666666666

作者: wang798403789 时间: 2025-8-11 21:25
我要下载试试，我要下载试试...

作者: wang798403789 时间: 2025-8-12 08:53
谢谢大人的分享

作者: 4414513216511 时间: 2025-8-12 20:22
666学习了！！

作者: 123yue 时间: 2025-8-13 07:51
学习一下！十分感谢

作者: 哦美国 时间: 2025-8-13 19:20
必须支持。。。。。。。

作者: zxcasd123c1 时间: 2025-8-13 20:41
666666666666666666666666

作者: 1811581892 时间: 2025-8-13 22:01
来瞧瞧的，呵呵

作者: 慌什么！ 时间: 2025-8-13 23:22
11111111111111111111111111

作者: gwm231 时间: 2025-8-14 00:43
谢谢楼主，，，收藏ing

作者: 1354541 时间: 2025-8-14 02:03
感谢您的无私精神...

作者: 丶断弦 时间: 2025-8-14 09:21
666666666666666666666666

作者: 光光 时间: 2025-8-14 16:39
不错不错支持下

作者: 文杰 时间: 2025-8-14 23:57
支持一下，期待更多东西

作者: 123yue 时间: 2025-8-15 07:15
我表示压力很大

作者: 光光 时间: 2025-8-15 14:33
碉堡了!

作者: a32d321as 时间: 2025-8-16 08:50
感谢感谢分享

作者: 浮生若梦 时间: 2025-8-17 03:06
我知道错了，感谢大神分享

作者: 1150531613 时间: 2025-8-17 21:23
看看，到底好不好，想学学看看

作者: 我爱你苏根 时间: 2025-8-18 15:40
这个好好支持一下

作者: 浮生若梦 时间: 2025-8-19 09:57
我表示压力很大

作者: Dim星痕 时间: 2025-8-19 09:58
66666666666666666666

作者: sada 时间: 2025-8-19 09:59
看看看看看看看看看看看看

作者: 1811581892 时间: 2025-8-19 10:00
学习中，看看代码啥情况

作者: 斯蒂芬 时间: 2025-8-19 10:01
00.000...000

作者: sdf 时间: 2025-8-19 10:02
碉堡了!

作者: 佳佳 时间: 2025-8-19 10:17
我要下载试试，我要下载试试...

作者: 小白 时间: 2025-8-19 10:31
感谢分享LOL

作者: 星梦无痕 时间: 2025-8-19 10:46
66666666666666666666

作者: 神话宝宝 时间: 2025-8-19 11:00
我今天才找到这个论坛，非常高兴，加入到觅风老师的论坛

作者: 神话宝宝 时间: 2025-8-19 11:14
支持！！！！！！

作者: NUNU 时间: 2025-8-20 06:33
66666666666666666666

作者: 13778890079 时间: 2025-8-21 01:52
不错哦喜欢嘿嘿

作者: 星梦无痕 时间: 2025-8-21 21:12
看帖子的要发表下看法

作者: 呵呵哒 时间: 2025-8-22 16:31
赞一个!

作者: qq1124824221 时间: 2025-8-23 11:50
必须支持。。。。。。。

作者: gx5dsx 时间: 2025-9-3 17:34
6666666666666+666

欢迎光临觅风论坛 (https://www.eyyba.com/)