摘要:
一、检测 DebugObject 对象 当调试器附加或打开一个程序建立调试的时候,会先创建一个调试对象 DebugObject,通过这个调试对象与被调试进程进行交互,因此我们可以对该对象进行检测来判断是否有调试器正在调试。 1 通过 NtQueryObject 函数来获取调试对象 我们可以通过 Nt 阅读全文
posted @ 2025-02-22 15:54
lostin9772
阅读(5)
评论(0)
推荐(0)
摘要:
一、通过查询父进程 PID 当我们的程序是通过在桌面或文件目录下通过鼠标双击打开的时候,该程序的父进程是 exploere.exe。为了更加深入的了解该原理,我们有必要详细了解一下一个进程的创建过程。 在 Windows 系统中,无论我们使用哪种方式打开一个新的程序,它都使用一套标准的流程来创建一个 阅读全文
posted @ 2025-02-22 10:51
lostin9772
阅读(4)
评论(0)
推荐(0)
浙公网安备 33010602011771号