昨天研究了一下IsDebuggerPresent这个函数的实现代码,发现真的很简单,只有区区4行:
mov eax, dword ptr fs:[018H] mov eax, dword ptr [eax + 030H] movzx eax, dword ptr [eax + 02H] ret
参考了一些大牛的文章,原来第一行是获取TEB的地址,第二行是获取PEB地址,第三行是获得BeingDebugged标记的值,BeingDebugged值为1则进程被调试,值为0则进程没有被调试器附加,于是我写了以下的代码,可以实现和IsDebuggerPresent相同的检测功能:
while (1)
{
DWORD dwFS = 0;
dwFS = __readfsdword(0x18);
dwFS = *(DWORD *)(dwFS + 0x30);
dwFS = *(DWORD *)(dwFS + 0x02) & 0x000000FF;
printf("%08X\n", dwFS);
__asm
{
mov eax, dword ptr fs:[018H]
mov eax, dword ptr [eax + 030H]
movzx eax, dword ptr [eax + 02H]
mov dwFS, eax
}
printf("%08X\n", dwFS);
system("Pause");
}
使用__readfsdword函数前请#include <intrin.h>
参考了这篇文章,感谢文章作者:http://cxc200026.blog.163.com/blog/static/3426867200841764521515/
