开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >8.5 DebuggerPresent

8.5 DebuggerPresent

原创

作者头像

王瑞MVP

发布于 2023-09-27 01:58:29

发布于 2023-09-27 01:58:29

16100

代码可运行

举报

文章被收录于专栏：灰帽黑客：攻守道灰帽黑客：攻守道

运行总次数：0

代码可运行

CheckRemoteDebuggerPresent 也是一个微软提供的反调试函数，该函数可以在本地或者远程进程中使用。函数接收两个参数进程句柄和一个指向布尔值的指针。如果指定的进程正在被调试，则函数会把指向布尔值的指针设为 TRUE，否则设为FALSE。

#include <stdio.h>
#include <windows.h>

// 定义指针
typedef BOOL(WINAPI *CHECK_REMOTE_DEBUG_PROCESS)(HANDLE, PBOOL);

BOOL CheckDebugger()
{
    BOOL bDebug = FALSE;
    CHECK_REMOTE_DEBUG_PROCESS CheckRemoteDebuggerPresent;

    HINSTANCE hModule = GetModuleHandle("kernel32");
    CheckRemoteDebuggerPresent = (CHECK_REMOTE_DEBUG_PROCESS)GetProcAddress(hModule, "CheckRemoteDebuggerPresent");

    HANDLE hProcess = GetCurrentProcess();

    CheckRemoteDebuggerPresent(hProcess, &bDebug);
    return bDebug;
}

int main(int argc, char *argv[])
{
    if (CheckDebugger())
    {
        printf("[-] 进程正在被调试 \n");
    }

    system("pause");
    return 0;
}

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

#DebuggerPresent

#CheckRemoteDebugger

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

鹅厂写码13年，我总结的程序员高效阅读方法论

进程，线程，协程 - 你了解多少？

微服务与分布式系统设计看这篇就够了！

腾讯文档表格卡顿指标探索之路

从Hadoop1.0到Hadoop2.0架构的优化和发展探索详解

微服务架构：由浅入深带你了解底层注册中心

8.3 NtGlobalFlag

NtGlobalFlag 是一个Windows内核全局标记，在Windows调试方案中经常用到。这个标记定义了一组系统的调试参数，包括启用或禁用调试技术的开关、造成崩溃的错误代码和处理方式等等。通过改变这个标记，可以在运行时设置和禁用不同的调试技术和错误处理方式，比如调试器只能访问当前进程、只允许用户模式调试、启用特定的错误处理方式等等。但由于NtGlobalFlag标记是内核全局标记，其改变会影响整个系统的行为，需要谨慎处理。

王瑞MVP

2023/09/26

2530

C/C++ 进程代码注入&提权&降权

网络安全编程算法

如果将shellcode注入到具有特定权限的进程中，我们就可以获得与该进程相同的权限，此方法可以用于提权与降权操作，注入有多种方式，最简单的是直接将metasploit生成的有效载荷直接注入到目标进程中，并通过创建远程线程启动，还可以自己实现一个注入器，这里我们自己来实现一个提权器，可提权也可降权。

王瑞MVP

2022/12/28

1K0

C/C++ 进程代码注入&提权&降权

26种对付反调试的方法

windows 单片机

本文针对的是Windows操作系统中常用的防破0解及防逆向工程保护技术，即反调试方法，各种防逆向工程技术的主要目标是尽可能多的使逆变工具尽可能失效。

战神伽罗

2019/07/24

5.8K0

C/C++ 程序反调试方法总结

SSL 证书汇编语言 api node.js

C/C++ 要实现程序反调试有多种方法，BeingDebugged，NtGlobalFlag，ProcessHeap，CheckRemoteDebuggerPresent，STARTUPINFO，IsDebuggerPresent，父进程检测，TLS 线程局部存储，RDTSC时钟检测反调试，MapFileAndCheckSum，等都可实现反调试，这里我分别编写了一些案例，基本上一锅端了。

王瑞MVP

2022/12/28

5240

C/C++ 远程线程DLL注入

64位进程,就得用64位的EXE来CreateRemoteThread, 另外DLL也应该是64位

王瑞MVP

2022/12/28

6070

反调试技术

继续学习《逆向工程核心原理》，本篇笔记是第七部分：反调试技术，包括一些静态反调试技术和动态反调试技术

红客突击队

2022/09/29

1.3K0

原来... 反调试技术揭秘（转）

编程算法 api node.js

在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破0解自己。为了了解如何破0解反调试技术，首先我们来看看反调试技术。

战神伽罗

2019/07/24

8810

8.4 ProcessHeap

ProcessHeap 是Windows进程的默认堆，每个进程都有一个默认的堆，用于在进程地址空间中分配内存空间。默认情况下ProcessHeap由内核进行初始化，该堆中存在一个未公开的属性，它被设置为加载器为进程分配的第一个堆的位置(进程堆标志)，ProcessHeap标志位于PEB结构中偏移为0x18处，第一个堆头部有一个属性字段，这个属性叫做ForceFlags属性偏移为0x44，该属性为0说明程序没有被调试，非0说明被调试，另外的Flags属性为2说明被调试，不为2则说明没有被调试。

王瑞MVP

2023/09/26

2160

C/C++ 实现常用的线程注入

网络安全编程算法 api windows 汇编语言

各种API远程线程注入的方法，分别是远程线程注入，普通消息钩子注入，全局消息钩子注入，APC应用层异步注入，ZwCreateThreadEx强力注入，纯汇编实现的线程注入等。

王瑞MVP

2022/12/28

7210

windows下的反调试探究

编程算法 python api

我们知道一些游戏为了防止被分析会加入反调试的代码，那么我们的木马样本同样也需要用到反调试技术。攻和防其实是相对的，只有了解了调试的原理，才能更深入的进行对抗，本文就对一些常见的反调试手段进行总结并对深层原理进行探究。

红队蓝军

2022/05/17

5920

1.12 进程注入ShellCode套接字

信息安全 c++

在笔者前几篇文章中我们一直在探讨如何利用Metasploit这个渗透工具生成ShellCode以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向ShellCodeShell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与《运用C语言编写ShellCode代码》中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对Metasploit工具生成的Shell原理的理解能够起到促进作用。

王瑞MVP

2023/09/01

3420

1.12 进程注入ShellCode套接字

C/C++ 实现远程线程DLL注入

网络安全 api

远程线程注入是最常用的一种注入技术，该技术利用的核心API是 `CreateRemoteThread()` 这个API可以运行远程线程，其次通过创建的线程调用 `LoadLibraryA()` 这个函数动态载入指定的DLL即可实现运行DLL，而`LoadLibrary()`函数在任何一个可执行文件中都可以被调用到，这就给我们注入提供了有效的条件.

王瑞MVP

2022/12/28

6400

红队｜ Windows注入的一些方式

c 语言编程算法 api 图像处理网络安全

在渗透过程中有时候为了权限维持或者其他等一些操作，比如以前的搜狗输入法可以替换dll文件当用户切换输入法就会去加载我们替换的dll文件，dll文件可以自己编写一些net user或者其他的一些方法，也可以通过msf等来生成dll文件进行替换。

HACK学习

2021/08/13

1.1K0

windows环境下的反调试探究

编程算法 python api

我们知道一些游戏为了防止被分析会加入反调试的代码，那么我们的木马样本同样也需要用到反调试技术。攻和防其实是相对的，只有了解了调试的原理，才能更深入的进行对抗，本文就对一些常见的反调试手段进行总结并对深层原理进行探究。

红队蓝军

2022/04/18

1.4K0

windows环境下的反调试探究

网络安全 api windows 编程算法

继续学习《逆向工程核心原理》，本篇笔记是第三部分：DLL注入，主要包括三种DLL注入、DLL卸载、修改PE、代码注入等内容

红客突击队

2022/09/29

1.8K0

【逆向专题】【危！！！刑】（一）使用c#+Win32Api实现进程注入到wechat

c#微信进程内存线程

　　　　自从上篇使用Flaui实现微信自动化之后，这段时间便一直在瞎研究微信这方面，目前破解了Window微信的本地的Sqlite数据库，使用Openssl，以及Win32Api来获取解密密钥，今天作为第一张，先简单写一下，获取微信的一些静态数据，以及将自己写的c语言dll通过Api注入到微信进程里面去，最后调用我们的dll的方法。话不多说，让我们开始吧。

陈显达

2023/10/16

1.3K0

【逆向专题】【危！！！刑】（一）使用c#+Win32Api实现进程注入到wechat

C/C++ 实现远程代码注入

#include <windows.h> #include <iostream> #define STRLEN 20 typedef struct _DATA { DWORD dwLoadLibrary; DWORD dwGetProcAddress; DWORD dwGetModuleHandle; DWORD dwGetModuleFileName; char User32Dll[STRLEN]; char MessageBox[STRLEN];

王瑞MVP

2022/12/28

5750

安全视角下的木马免杀技术讨论

实战演习中，攻击方需要通过各种手段对企业的相关资产进行渗透，挖掘企业资产里存在的漏洞进行得分。近年来这种漏洞挖掘的攻防比赛好像都以 Web 方面的为主，可能 Web 中存在的漏洞较多，得分点也较多吧。不过，除了 Web 之外， apt 攻击也是一种不错的攻击手法，而且运气好的话直接就进了内网。在 apt 攻击中，用的较多的大概就是钓鱼邮件了吧。而钓鱼成功与否一方面和钓鱼文案的诱人程度以及木马的免杀是否到位有着密切的关系。下面介绍下常见的一些免杀技巧。

FB客服

2019/08/02

1.3K0

基础免杀手法暴风吸入

go github git 开源

不同的杀软对数字签名的敏感性不同，有些杀软可能只检查一下有没有数字签名就过了，有些杀软可能要去验证一下数字签名的正确性，有些可能管都不管数字签名。只能说添加数字签名能稍微提升一下exe的免杀几率。

ConsT27

2022/03/15

1.5K0

DLL远程线程注入

dll 多线程函数进程线程

CreateToolhelp32Snapshot函数 https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-createtoolhelp32snapshot 获取指定进程的快照，以及这些进程使用的堆、模块和线程。(也就是说，我们可以利用这个函数来获取进程的PID)

YanXia

2023/04/07

7340

相关推荐

8.3 NtGlobalFlag

更多 >

LV.6

这个人很懒，什么都没有留下～

专栏

8

作者相关精选

换一批

加入讨论

的问答专区 >

社区富文本编辑器全新改版！诚邀体验～

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验