本文介绍了多种在汇编级别检测程序是否被调试的方法,包括INT 3、INT 2D、DebugBreak、ICE、堆栈寄存器检查、指令计数、POPFD 和 Trap 标志以及针对OllyDbg v1.10的指令前缀技术。通过这些技术,开发者可以防止调试器对程序进行分析和调试。
一、INT 3
指令INT3是用作软件断点的中断。在没有调试器的情况下,在到达INT3指令后,将生成异常EXCEPTION_BREAKPOINT (0x80000003),并将调用异常处理程序。如果存在调试器,则不会将控制权赋予异常处理程序。
bool IsDebugged(){ __try { __asm int 3; return true; } __except(EXCEPTION_EXECUTE_HANDLER) { return false; }}
除了 INT 3指令的简短形式0xCC之外,该指令还有一种长形式:CD 03。
当异常EXCEPTION_BREAKPOINT 发生时,Windows将EIP寄存器递减到0xCC操作码的假定位置,并将控制权传递给异常处理程序。对于INT3指令的长形式,EIP将指向指令的中间(0x03偏移字节处)。因此,如果我们想在INT3指令之后继续执行,就应该在异常处理程序中编辑EIP(否则我们很可能会得到EXCEPTION_ACCESS_VIOLATION 异常)。如果没有
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
