不是烂大街的反调试源码分享-真正的软件安全保护源码

当前 Windows 平台下的反反调试插件，如 ScyllaHide，已经对常见的反调试 API 提供了较为周全的绕过：



IsDebuggerPresent 返回 FALSE

NtQueryInformationProcess 检查调试端口时返回空

PEB 的 BeingDebugged 标志被清除

父进程信息可随意伪造

GetForegroundWindow、OutputDebugString 等 API 被 Hook


如果检测逻辑完全建立在上述 API 之上，那么在实际对抗中基本失效。为了摆脱这一困境，本文尝试一种新思路：不检查进程自身，而是去检查程序启动那一瞬间，桌面环境的前台焦点窗口属于谁。


用户从资源管理器双击启动程序时，启动瞬间的前台 GUI 线程必然属于 explorer.exe。而由调试器启动时，这一条件不成立。这个差异更难被反反调试插件消除，因为它涉及的不是进程内部状态，而是运行环境的瞬时快照。


模块说明：觅风模块.ec 请自行添加 另一个模块如果实际使用不加VMP壳可以直接删除 不影响运行

、

游客，如果您要查看本帖隐藏内容请回复

的法国风格化规范化