26种对付反调试的方法(13)
发布时间:2019-03-21 12:55 所属栏目:20 来源:luochicun
导读:链中的最后一部分是系统分配的默认处理程序。如果以前没有异常的处理程序,则系统处理程序将转到注册表以获取 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionAeDebug 根据AeDebug密钥值,应用程序将
链中的最后一部分是系统分配的默认处理程序。如果以前没有异常的处理程序,则系统处理程序将转到注册表以获取
根据AeDebug密钥值,应用程序将被终止或控制被传送到调试器。调试器路径应在调试器REG_SZ中指示。 在创建新进程时,系统会向其添加主要SEH Frame。主SEH Frame的处理程序也由系统定义。主要的SEH Frame本身几乎位于最初为进程分配的堆栈内存中。 SEH处理函数签名如下所示:
如果正在调试应用程序,在int 3h中断生成后,控制将被调试器拦截。否则,,控制将被转移 到SEH处理程序。以下代码就是基于SEH Frame的反调试保护:
(编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读