IsDebuggerPresent

关于IsDebuggerPresent

当调试器存在时, kernel32的IsDebuggerPresent()函数返回的是一个非0值.

BOOL WINAPI IsDebuggerPresent(void);

检测代码

它的检测方法非常简单, 比如用以下代码(32位还是64位都是相同的这份代码)在32位/64位环境中检测:

call IsDebuggerPresent
test al, al
jne being_debugged

实际上, 这个函数只是单纯地返回了BeingDebugged标志的值. 检查BeingDebugged标志位的方法也可以用以下32代码位代码检查32位环境来实现:

mov eax, fs:[30h] ;Process Environment Block
cmp b [eax+2], 0 ;check BeingDebugged
jne being_debugged

或使用64位代码检测64位环境

push 60h
pop rsi
gs:lodsq ;Process Environment Block
cmp b [rax+2], 0 ;check BeingDebugged
jne being_debugged

或使用32位代码检测64位环境

mov eax, fs:[30h] ;Process Environment Block
;64-bit Process Environment Block
;follows 32-bit Process Environment Block
cmp b [eax+1002h], 0 ;check BeingDebugged
jne being_debugged

如何绕过

想要克服这些检测, 只需要将BeingDebugged标志设为0即可(或改变一下返回值).

PreviousInterrupt 3 Next花指令

Last updated 1 year ago