摘要:
一、通过检测 DebugPort 字段 当调试器与进程建立调试关系后,调试器会通过调试子系统来设置被调试进程的内核结构体 EPROCESS 中的 DebugPort 字段,该字段保存的是调试端口,调试器和被调试进程通过这个端口来进行通信。 因此,我们可以通过检测该调试端口,来判断目标进程是否处于被调 阅读全文
posted @ 2025-02-12 22:15
lostin9772
阅读(9)
评论(0)
推荐(0)
摘要:
一、通过检测 NtGlobalFlag 字段 我们在进行调试的过程中,可以通过两种方法来调试目标程序。第一种方法就是直接附加到一个已经运行的进程,第二种方法就是通过打开一个新的进程来进行调试。 在进程的 PEB 结构中有一个 NtGlobalFlag 字段,该字段是一个 Uint4B 类型的值,包含 阅读全文
posted @ 2025-02-12 18:23
lostin9772
阅读(13)
评论(0)
推荐(0)
摘要:
一、通过检测 BeingDebugged 标志位 在调试过程中,当被调试进程被调试器附加后,被调试进程中的所有线程的 PEB 结构中的 BeingDebugged 位会被置为 1,因此我们可以通过检测该标志位来检测是否有调试器进行附加。 我们首先通过 windbg 软件来看一下这个标志位位于进程的哪 阅读全文
posted @ 2025-02-12 13:12
lostin9772
阅读(9)
评论(0)
推荐(0)
浙公网安备 33010602011771号