通常可以通过在程序中设置异常处理函数,并在其中发起一个异常,然后判断程序是否已经被调试器附加来实现反调试。如果异常处理函数没有被触发,则说明程序已经被调试器附加;如果异常处理函数被触发,则说明程序没有被调试器附加。
安装异常处理函数并手动触发,此时如果被调试器附加,则会不走异常处理流程,此时IsDebug将会返回默认的False,并直接走_asm call pBuff;在调试器不忽略int3中断的情况下,调试将会被终止。
#include <Windows.h>
#include <stdio.h>
BOOL Exceptioni = FALSE;
LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo)
{
Exceptioni = TRUE;
return EXCEPTION_CONTINUE_EXECUTION;
}
BOOL IsDebug()
{
ULONG OldProtect = 0;
LPTOP_LEVEL_EXCEPTION_FILTER lpsetun;
// 安装自己实现的 ExceptionFilter 自定义异常处理函数
lpsetun = SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)ExceptionFilter);
LPVOID pBuff = VirtualAlloc(NULL, 0x1000, MEM_COMMIT, PAGE_READWRITE);
*((PWORD)pBuff) = 0xc3;
VirtualProtect(pBuff, 0x1000, PAGE_EXECUTE_READ | PAGE_GUARD, &OldProtect);
_asm call pBuff; // 如果被调试,则执行中断,不会进行异常处理
SetUnhandledExceptionFilter(lpsetun); // 恢复异常处理
return Exceptioni;
}
int main(int argc, char * argv[])
{
if (!IsDebug())
{
printf("[-] 程序正在被调试 \n");
}
system("pause");
return 0;
}