反调试方法总结以及源码实现之检测篇(一)
------------by
雪一梦
反调试在代码保护中扮演着很重要的角色,虽然
不能完全阻止攻击者,但是还是能加大攻击者的时间
成本,一般与加壳结合使用,核心还是加壳部分。
反调试可以分为两类:一类是检测,另一类是攻
击,前者是去想各种办法去检测程序是否在被调试,
如果正在被调试的话做出一些“反”的举措,比如退
出等等,
(
当然这里退出不是一个万全之策,因为你暴
露了反调试的位置点,这样攻击者就比较容易过反调
试,更好的是想办法不让攻击者发现,并且跳到另一
个位置,让攻击者懵逼,小弟不才,本文是采用退出
的方式,更好的方法读者可以自己
YY)
,后者是采用
攻击的方法,就是想办法让调试器不能正常工作或者
是让调试器崩溃,从而阻止它,会在下一篇介绍。
本文只是简单反调试的一些基础部分,都是通过
另起一个新的进程或者线程,这些很容易会使用
kill
大发杀死或者是通过别的方法挂起,从而很容易的过
掉反调试,所以这时候会想到通过进程间通信的方式
来确认反调试进程是不是还存在?这些会在下一篇
里讲述。
第一种:一个进程最多只能被一个进程
ptrace
- 1
- 2
- 3
前往页