26种对付反调试的方法(6)

发布时间：2019-03-21 12:55 所属栏目：20 来源：luochicun

导读：Trap Flag（陷阱标识）位于EFLAGS寄存器内，如果TF设置为1，CPU将在每个指令执行后产生INT 01h或单步异常(single-step exception)。以下就是基于TF设置和异常调用检查的反调试： BOOLisDebugged=TRUE; __try { __as

Trap Flag（陷阱标识）位于EFLAGS寄存器内，如果TF设置为1，CPU将在每个指令执行后产生INT 01h或单步异常(single-step exception)。以下就是基于TF设置和异常调用检查的反调试：

BOOL isDebugged = TRUE; 
__try 
{ 
    __asm 
    { 
        pushfd 
        or dword ptr[esp], 0x100 // set the Trap Flag  
        popfd                    // Load the value into EFLAGS register 
        nop 
    } 
} 
__except (EXCEPTION_EXECUTE_HANDLER) 
{ 
    // If an exception has been raised – debugger is not present 
    isDebugged = FALSE; 
} 
if (isDebugged) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
}

这里TF有意设置为生成异常。如果正在调试进程，则异常将被调试器捕获。

如何避开陷阱标识检查

为了在调试过程中避开TF标识检查，应该将pushfd指令传递给单步异常，但要跳过它，将断点置后，继续执行程序。断点后，跟踪可以继续。

CheckRemoteDebuggerPresent和NtQueryInformationProcess

与IsDebuggerPresent函数不同，CheckRemoteDebuggerPresent会检查一个进程是否被另一个同步进程调试。下图就是一个基于CheckRemoteDebuggerPresent的反调试技术：

int main(int argc, char *argv[]) 
{ 
    BOOL isDebuggerPresent = FALSE; 
    if (CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebuggerPresent )) 
    { 
        if (isDebuggerPresent ) 
        { 
            std::cout << "Stop debugging program!" << std::endl; 
            exit(-1); 
        } 
    } 
    return 0; 
}

（编辑：ASP站长网）