摘要:
一、通过检测 NoDebugInherit 标志位 在进程的 EPROCESS 结构体中存在一个 NoDebugInherit 标志位,当进程处于调试状态时,该标志位被置为 1,默认情况为 0。 我们在虚拟机中打开 notepad.exe 程序,并用 x64dbg 附加 notepad 程序,通过如 阅读全文
posted @ 2025-02-17 22:01
lostin9772
阅读(9)
评论(0)
推荐(0)
摘要:
一、通过检测 DebugObjectHandle 句柄 从 Windows XP 开始,引入了 DebugObject,当一个调试会话启动的时候,调试器会调用调试子系统函数来创建一个 DebugObject 对象以及与之关联的句柄 DebugObjectHandle。 1 通过 NtQueryInf 阅读全文
posted @ 2025-02-17 21:14
lostin9772
阅读(5)
评论(0)
推荐(0)
浙公网安备 33010602011771号