26种对付反调试的方法(9)

从Windows XP开始，研究人员就为调试过程创建了调试对象。以下就是检查当前进程调试对象的案例：

status = NtQueryInformationProcess( 
            GetCurrentProcess(), 
            ProcessDebugObjectHandle, 
            &hProcessDebugObject, 
            sizeof(HANDLE), 
            NULL); 
if (0x00000000 == status && NULL != hProcessDebugObject) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
} 

如果有调试对象，则正在调试该进程。

ProcessDebugFlags

当检查该标识时，它会返回到EPROCESS内核结构的NoDebugInherit位的反转值。如果NtQueryInformationProcess函数的返回值为0，则正在调试进程。以下就是一个这样的反调试检查的例子：

status = NtQueryInformationProcess( 
    GetCurrentProcess(), 
    ProcessDebugObjectHandle, 
    &debugFlags, 
    sizeof(ULONG), 
    NULL); 
if (0x00000000 == status && NULL != debugFlags) 
{ 
    std::cout << "Stop debugging program!" << std::endl; 
    exit(-1); 
}    

ProcessBasicInformation

当使用ProcessBasicInformation标识调用NtQueryInformationProcess函数时，会返回PROCESS_BASIC_INFORMATION结构：

typedef struct _PROCESS_BASIC_INFORMATION { 
    NTSTATUS ExitStatus; 
    PVOID PebBaseAddress; 
    ULONG_PTR AffinityMask; 
    KPRIORITY BasePriority; 
    HANDLE UniqueProcessId; 
    HANDLE InheritedFromUniqueProcessId; 
} PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; 

（编辑：ASP站长网）