第一课 简单的实现一个反调试

低调npc

欢迎大家观看我的反调试课程
本人也是一个小白，希望大家多多支持，我们一起进步
课程如果有讲的不对的地方可以在评论区发送，感谢大家的支持[抱拳]


现在开始我们的第一课，简单的实现一个反调试

用到的API是isDebuggerPresent
易语言源码如下

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口
变量名	类 型	数组	备 注
返回值	逻辑型
isDebug	整数型

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

返回值 ＝ IsDebuggerPresent ()
判断 (返回值 ＝ 真)
信息框 (“正在被调试”, 0, , )

.版本 2<br /> <br /> .程序集 窗口程序集_启动窗口<br /> .程序集变量 返回值, 逻辑型<br /> .程序集变量 isDebug, 整数型<br /> .子程序 __启动窗口_创建完毕<br /> <br /> 返回值 ＝ IsDebuggerPresent ()<br /> .判断开始 (返回值 ＝ 真)<br />     信息框 (“正在被调试”, 0, , )

1. BOOL IsDebuggerPresent(void);
   

复制代码

这是C++中的函数原型
这是一个最简单的反调试API，希望大家能够记住
当然了，这个函数的汇编写法长这个样子

1. 等效的汇编代码为
   
2. mov eax,fs:[0x30]
   
3. mov eax,[eax+0x68]
   
4. mov 变量,eax

复制代码

这个变量是你接收的返回值,也就是上述e代码的isDebug这个变量
我们用汇编的形式在易语言中表达一下

  

' __asm{
' mov eax,fs:[0x30]
' mov eax,[eax+0x68]
' mov isDebug,eax
' }
' 这里的isDebug的值应该是十六进制的70，我们改成十进制112
判断 (isDebug ＝ 112)
信息框 (“正在被调试”, 0, , )

.版本 2<br /> <br /> ' __asm{<br /> ' mov eax,fs:[0x30]<br /> ' mov eax,[eax+0x68]<br /> ' mov isDebug,eax<br /> ' }<br /> <br /> ' 这里的isDebug的值应该是十六进制的70，我们改成十进制112<br /> .判断开始 (isDebug ＝ 112)<br />     信息框 (“正在被调试”, 0, , )<br /> .默认

当然我们在实际情况中，直接这么写是不对的，应该起一条线程不断的检测

这节课主要是简单的了解一下，整套课程面向易语言小白和想了解反调试攻防的萌新罢了
肯定已经有很多人都知道这种反调试方法了吧哈哈哈