(69)番外 —— 编写一个简易的反调试引擎
生活随笔
收集整理的這篇文章主要介紹了
(69)番外 —— 编写一个简易的反调试引擎
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
一、開發背景
這個項目是我用來檢驗所學知識的,它只適用于32位xp sp3 單核版本。
簡單起見,我就不對引擎本身做保護了,假設引擎是神圣不可侵犯的。
二、功能介紹
應用層
- TLS回調
- 常用的反調試API函數
- CRC代碼校驗
- 檢測調試器進程(CreateToolhelp32Snapshot)
- 注入檢測(vadroot)
內核層
- 進程隱藏(ActiveProcessLinks 斷鏈)
- 內核 HOOK 檢測(內核重載,實時檢測是否被HOOK)
- 檢測調試器進程(遍歷 PsdCidTable)
- 禁止 OpenProcess (HOOK NtOpenProcess)
- 禁止讀寫內存(HOOK NtReadVirtualMemory)
- SSDT HOOK 檢測
- DebugPort 擦除
- 遍歷進程句柄表,檢查是否有可疑進程打開了目標進程
2020年11月24日23:15:22
總結
以上是生活随笔為你收集整理的(69)番外 —— 编写一个简易的反调试引擎的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (68)自旋锁 , cmpxchg8b
- 下一篇: (70)内核重载 xp sp3 x86