一、開發(fā)背景

這個項目是我用來檢驗所學(xué)知識的，它只適用于32位xp sp3 單核版本。

簡單起見，我就不對引擎本身做保護(hù)了，假設(shè)引擎是神圣不可侵犯的。

二、功能介紹

應(yīng)用層

• TLS回調(diào)
• 常用的反調(diào)試API函數(shù)
• CRC代碼校驗
• 檢測調(diào)試器進(jìn)程（CreateToolhelp32Snapshot）
• 注入檢測（vadroot）

---

內(nèi)核層

• 進(jìn)程隱藏（ActiveProcessLinks 斷鏈）
• 內(nèi)核 HOOK 檢測（內(nèi)核重載，實時檢測是否被HOOK）
• 檢測調(diào)試器進(jìn)程（遍歷 PsdCidTable）
• 禁止 OpenProcess （HOOK NtOpenProcess）
• 禁止讀寫內(nèi)存（HOOK NtReadVirtualMemory）
• SSDT HOOK 檢測
• DebugPort 擦除
• 遍歷進(jìn)程句柄表，檢查是否有可疑進(jìn)程打開了目標(biāo)進(jìn)程

2020年11月24日23:15:22

總結(jié)

以上是生活随笔為你收集整理的（69）番外 —— 编写一个简易的反调试引擎的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。