查看: 117|回复: 0

VC++反调试代码，检测程序是否被调试，检测VS和OD

1万主题	1万帖子	1万积分

管理员

Rank: 9 Rank: 9 Rank: 9

积分: 12071

发消息

发表于 2024-5-29 09:29:10 | 显示全部楼层 |阅读模式

VC++反调试代码，检测程序是否被调试，检测VS和OD

#include <iostream>
#include <windows.h>
#include <winternl.h>
#pragma region 依赖
typedef NTSTATUS(NTAPI* pfnNtQueryInformationProcess)(
_In_ HANDLE ProcessHandle,
_In_ UINT ProcessInformationClass,
_Out_ PVOID ProcessInformation,
_In_ ULONG ProcessInformationLength,
_Out_opt_ PULONG ReturnLength
);
#pragma endregion
#include <Windows.h>
#include <stdio.h>
// linker spec 通知链接器PE文件要创建TLS目录
#ifdef _M_IX86
#pragma comment (linker, "/INCLUDE:__tls_used")
#pragma comment (linker, "/INCLUDE:__tls_callback")
#else
#pragma comment (linker, "/INCLUDE:_tls_used")
#pragma comment (linker, "/INCLUDE:_tls_callback")
#endif
//此方法测试针对od有效
int checkdebug() {
pfnNtQueryInformationProcess NtQueryInformationProcess = NULL; // 存放 ntdll 中 NtQueryInformationProcess 函数地址
NTSTATUS status; // NTSTATUS 错误代码，0：执行成功
DWORD isDebuggerPresent = -1; // 如果当前被调试，则 = ffffffff
HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll")); // ntdll 模块句柄
// ntdll 加载成功
if (hNtDll) {
// 取 NtQueryInformationProcess 函数地址
NtQueryInformationProcess = (pfnNtQueryInformationProcess)GetProcAddress(hNtDll, "NtQueryInformationProcess");
// 取地址成功
if (NtQueryInformationProcess) {
// 1.把 NtQueryInformationProcess() 中的 0x7 改成 0x1F
// 2.把 if(status == 0 && isDebuggerPresent != 0) 判断改为 if(status == 0 && isDebuggerPresent == 0)
// NtQueryInformationProcess 检测调试器
status = NtQueryInformationProcess(
GetCurrentProcess(), // 进程句柄
0x1F, // 要检索的进程信息类型，ProcessDebugPort：调试器端口号 0x7 改成 0x1E
&isDebuggerPresent, // 接收进程信息的缓冲区指针
sizeof(DWORD), // 缓冲区大小
NULL // 实际返回进程信息的大小
);
// NtQueryInformationProcess 执行成功
if (status == 0 && isDebuggerPresent == 0) {
// 输出
/*std::cout << "status = " << status << std::endl;
std::cout << "isDebuggerPresent = " << std::hex << isDebuggerPresent << std::endl;
std::cout << "检测到调试器" << std::endl;*/
ExitProcess(0);
//getchar();
return 1;
}
}
}
// 输出
/*std::cout << "status = " << status << std::endl;
std::cout << "isDebuggerPresent = " << std::hex << isDebuggerPresent << std::endl;
std::cout << "没有发现调试器" << std::endl;*/
//getchar();
return 0;
}
void NTAPI __stdcall TLS_CALLBACK(PVOID DllHandle, DWORD dwReason, PVOID Reserved)
{
if (IsDebuggerPresent())//此方法针对VS有效，对OD无效
{
//MessageBox(NULL, L" 检测到调试器 !", L"Error", MB_ICONSTOP);
ExitProcess(0);
}
if (checkdebug() != 0) {//此方法针对OD有效
//MessageBox(NULL, L" 检测到调试器2 !", L"Error", MB_ICONSTOP);
ExitProcess(0);
}
}
// 创建TLS段
EXTERN_C
#ifdef _M_X64
#pragma const_seg (".CRT$XLB")
PIMAGE_TLS_CALLBACK _tls_callback = TLS_CALLBACK;
#else
#pragma data_seg (".CRT$XLB")
PIMAGE_TLS_CALLBACK _tls_callback = TLS_CALLBACK;
#endif

复制代码

调试, 检测, 代码, 程序

相关帖子

扫码关注微信公众号，及时获取最新资源信息！【下载附件优惠：VIP会员5折；永久VIP免费】

返回列表

免责声明：
1、本站提供的所有资源仅供参考学习使用，版权归原著所有，禁止下载本站资源参与商业和非法行为，请在24小时之内自行删除！
2、本站所有内容均由互联网收集整理、网友上传，并且以计算机技术研究交流为目的，仅供大家参考、学习，请勿任何商业目的与商业用途。
3、若您需要商业运营或用于其他商业活动，请您购买正版授权并合法使用。
4、论坛的所有内容都不保证其准确性，完整性，有效性，由于源码具有复制性，一经售出，概不退换。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
5、用户使用本网站必须遵守适用的法律法规,对于用户违法使用本站非法运营而引起的一切责任，由用户自行承担
6、本站所有资源来自互联网转载，版权归原著所有，用户访问和使用本站的条件是必须接受本站“免责声明”，如果不遵守，请勿访问或使用本网站
7、本站使用者因为违反本声明的规定而触犯中华人民共和国法律的，一切后果自己负责，本站不承担任何责任。
8、凡以任何方式登陆本网站或直接、间接使用本网站资料者，视为自愿接受本网站声明的约束。
9、本站以《2013 中华人民共和国计算机软件保护条例》第二章 “软件著作权” 第十七条为原则：为了学习和研究软件内含的设计思想和原理，通过安装、显示、传输或者存储软件等方式使用软件的，可以不经软件著作权人许可，不向其支付报酬。若有学员需要商用本站资源，请务必联系版权方购买正版授权！
10、本网站如无意中侵犯了某个企业或个人的知识产权，请来信【站长信箱312337667@qq.com】告之，本站将立即删除。
郑重声明：
本站所有资源仅供用户本地电脑学习源代码的内含设计思想和原理，禁止任何其他用途！
本站所有资源、教程来自互联网转载，仅供学习交流，不得商业运营资源，不确保资源完整性，图片和资源仅供参考，不提供任何技术服务。
本站资源仅供本地编辑研究学习参考，禁止未经资源商正版授权参与任何商业行为，违法行为！如需商业请购买各资源商正版授权
本站仅收集资源，提供用户自学研究使用，本站不存在私自接受协助用户架设游戏或资源，非法运营资源行为。

|免责声明|小黑屋|依星资源网 ( 鲁ICP备2021043233号-3 )|网站地图

GMT+8, 2024-11-24 04:27

Powered by Net188.com X3.4

邮箱：312337667@qq.com 客服QQ：312337667（工作时间：9：00~21：00）

		自动登录	找回密码
密码			立即注册