如何通过最朴实的招式实现反调试,使其成为最致命的反调试手段?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1236个文字,预计阅读时间需要5分钟。
反调测试中最直接的影响+反调测试手法检测试样层出不足,今天介绍两种相对简单的手法,但能达成意想不到的效果。在系统编程中,我们经历进程、模块、线程和堆栈的时候,都扮演着重要角色。
反调试之最朴实的招式最致命
反调试手段检测花样层出不穷,今天来介绍俩种相对简单的手段,但是却能达到出其不意的效果。
在系统编程中我们遍历进程,模块,线程,堆的时候都需要用到一个函数:CreateToolhelp32Snapshot,其函数原型及其解释如下:
HANDLE CreateToolhelp32Snapshot( [in] DWORD dwFlags, [in] DWORD th32ProcessID ); //获取指定进程的快照,以及这些进程使用的堆、模块和线程。
TH32CS_INHERIT:0x80000000
指示快照句柄是可继承的。
TH32CS_SNAPALL
包括系统中的所有进程和线程,以及 th32ProcessID 中指定的进程的堆和模块。 等效于使用 OR 操作 。
TH32CS_SNAPHEAPLIST:0x00000001
包括快照中 th32ProcessID 中指定的进程的所有堆。 若要枚举堆,请参阅 Heap32ListFirst。
本文共计1236个文字,预计阅读时间需要5分钟。
反调测试中最直接的影响+反调测试手法检测试样层出不足,今天介绍两种相对简单的手法,但能达成意想不到的效果。在系统编程中,我们经历进程、模块、线程和堆栈的时候,都扮演着重要角色。
反调试之最朴实的招式最致命
反调试手段检测花样层出不穷,今天来介绍俩种相对简单的手段,但是却能达到出其不意的效果。
在系统编程中我们遍历进程,模块,线程,堆的时候都需要用到一个函数:CreateToolhelp32Snapshot,其函数原型及其解释如下:
HANDLE CreateToolhelp32Snapshot( [in] DWORD dwFlags, [in] DWORD th32ProcessID ); //获取指定进程的快照,以及这些进程使用的堆、模块和线程。
TH32CS_INHERIT:0x80000000
指示快照句柄是可继承的。
TH32CS_SNAPALL
包括系统中的所有进程和线程,以及 th32ProcessID 中指定的进程的堆和模块。 等效于使用 OR 操作 。
TH32CS_SNAPHEAPLIST:0x00000001
包括快照中 th32ProcessID 中指定的进程的所有堆。 若要枚举堆,请参阅 Heap32ListFirst。