个人中心
gpt4 book ai didi

windows - 禁止将 EXCEPTION_DEBUG_EVENT 传递给附加的调试器

转载 作者:可可西里 更新时间:2023-11-01 10:30:41 26 4
gpt4 key购买 nike

我正在处理一个反调试应用程序,它禁止将 EXCEPTION_DEBUG_EVENT 传递给我的调试器,而是执行其 SEH 和 UnhandledExceptionFilters。

  • 我尝试了 3 种不同的调试器(甚至是自制的)
  • 我的调试器接收到其他调试事件,如 LOAD_DLL、CREATE_THREAD 等
  • 第一次调试和最后一次调试都没有通过异常
  • 我自己创建的线程的断点事件被传递给调试器,因此反调试方法必须是线程特定的,并且可能是对 ThreadInformationBlock 的修改
  • 没有内核模式访问权限

那怎么可能在用户模式下传递EXCEPTION_DEBUG_EVENT(只针对一个线程,不影响整个进程)?

最佳答案

嗯..解决方案很简单:

打电话

NtSetInformationThread(
  IN HANDLE               ThreadHandle,
  IN THREAD_INFORMATION_CLASS ThreadInformationClass,
  IN PVOID                ThreadInformation,
  IN ULONG                ThreadInformationLength );

ThreadHideFromDebugger ( 0x11 ) 作为 ThreadInformationClass

关于windows - 禁止将 EXCEPTION_DEBUG_EVENT 传递给附加的调试器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1400579/

26 4 0
文章推荐: windows - Win32 ShellEx StorageHandler 的任何文档?
文章推荐: windows - 如何使用 Win32::API 调用 Win32 DLL void** 参数?
文章推荐: windows - 从操作系统的角度来看,C++ 中动态加载 DLL 的内部机制?
文章推荐: windows - 哪些 Windows (C++) 屏幕捕获库符合我的要求?
可可西里
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com