基础反调试技术总结

早就决定把反调试这个小技术方向拿来扒一扒，但是技术点实在太多，并且相互交叉，实在又不太好明确分类，想想应该画一张整体概览图，这样不但便于大家迅速浏览总体框架，也便于随时查找，花了两天时间把之前的知识又浏览了一下，做到尽可能不出错但可能还是在所难免，请各位见谅，若有不正确或者不完善的地方请读者帮忙指出，大家共同进步！ 在画完整个思维导图发现图太大，无法在网页清楚显示，于是再花点时间把它分开截图说明，并在结尾处给出附件，和原版可编辑的X-mind图，方便大家自行编辑补充！ 1 总体技术点概览： Being Debuged、CheckRemoteDebuggerPresent()、NTQuerySystem Information()、NTQueryObject()、ZwSetInformationThread()、检测调试器、父进程检测、时间差、陷阱标志 TrapFlag、INT2d、0xCC检测、比较校验和、垃圾代码、扰乱代码对齐、双进程保护、代码重组、Stolen Bytes、API重定向、SEH与TLS、加密、其他环境检测 2 分类介绍 先对图表说明一下，此图内容也就是我总结的全部内容，在此说明，内容只要来源于《加密与解密》第三版和《逆向工程核心原理》和部分论坛知识，我只是梳理整理，并无班门弄斧之意。 图中上面的黄色部分为注释部分“0 - - 1”表示调试前后的值对比，“2- -50000062h？”中的问号表示50000062这个值是个不确定值，有可能随环境变化，具体见下图：

终于写完，第一次发帖，写的不好，请大家见谅，我在最后已经贴好原版X-mind可编辑图形，如果读者有不太清楚之处请查看书中具体内容，也可以与我联系，欢迎大家对图表补充、完善并与论坛的朋友分享，也可以联系我更新，最后谢谢大家能看完，希望能和大家共同进步！