[讨论]一个简单反调试的实现（兼容WIN32/WIN64）

Tesla.Angela

直接上代码，主要原理是根据处理异常的时间长短判断是否存在调试器。
在有调试器的情况下，异常处理的时间远比正常情况要长。

1. #include <stdio.h>
   
2. #include <Windows.h>
   
3. int main()
   
4. {
   
5.         DWORD t1,t2;
   
6.         //测试GetTickCount的有效性，如果无效则表示发现调试器
   
7.         t1=GetTickCount();
   
8.         Sleep(500);
   
9.         t2=GetTickCount();
   
10.         if(t2-t1<400)
    
11.                 puts("FIND DBG\n");
    
12.         else
    
13.                 puts("NO DBG\n");
    
14.         //故意引发异常查找调试器
    
15.         t1=GetTickCount();
    
16.         __try
    
17.         {
    
18.                 memcpy((PVOID)1234,(PVOID)5678,90);
    
19.                 //DebugBreak();
    
20.         }
    
21.         __except(1)
    
22.         {
    
23.                 t2=GetTickCount();
    
24.                 puts("goto __except!\n");
    
25.         }
    
26.         if(t2-t1>10)
    
27.                 puts("FIND DBG");
    
28.         else
    
29.                 puts("NO DBG");
    
30.         getchar();
    
31.         return 0;
    
32. }

复制代码

这东西在WIN32上当然过不了SOD，但是在WIN64上很好用。{:soso_e113:}

不过在产品上实现反调试，当然不需要我们费劲：

游客，如果您要查看本帖隐藏内容请回复

0xAA55

哈哈 我一定是第一个回复的！

bqrm_521

nice...

zfdyq

学习学习，向老大学习~

qq569582281

看看帖子的内容

sku__

谢谢了， 学习ing

techminister

恩恩 不错 来学习了

jzy1115

看看了。。。。

wonderzdh

x64上很好用，是因为x64无法hook，从而破掉这个检测吗？

OD里的忽略异常，是否就可以过掉这中方法了。

luqi_44

确实比较简单的

upring

谢谢支持一下

kovipp

看看  这是什么

63430334

好东西  看一下

陌路人

可以,先自己写一个调试器, 然后把所有异常消息,全部忽略掉.并且把触发的异常代码打印一下.
这样就可以看出,频繁触发的什么异常,就知道软件搞什么鬼了.然后再调试器忽略掉这个异常就OK了

yxwsbobo

看

309100

我是来学习的...

kz丶cn

主动触发异常 貌似很多游戏保护都有了

n36437517

学习学习

haidejintou

看看

7lunatic

看不懂 先把有关系的都下载收藏

710266108

恩恩 不错 来学习了

YOUBADBAD

学习学习，

xjun

试试看。。。

sqiwg

感谢分享...

sc12345

谢谢分享！

Peter_king55

感謝分享!!

Quinlan

反调试也好，加壳也好，都是过滤掉一批技术水平低却想不劳而获的人，当然高手面对vmp应该也会一阵恶心

flac

谢谢分享，学习简单的反调试技术