This commit is contained in:
Cool-Y 2019-05-07 19:34:30 +08:00
parent efd130c4f4
commit fcf5df8788

View File

@ -210,7 +210,8 @@ int main(){
## 父进程检测 ## 父进程检测
一般双击运行的进程的父进程都是explorer.exe但是如果进程被调试父进程则是调试器进程。也就是说如果父进程不是explorer.exe则可以认为程序正在被调试。 一般双击运行的进程的父进程都是explorer.exe但是如果进程被调试父进程则是调试器进程。也就是说如果父进程不是explorer.exe则可以认为程序正在被调试。
'''
```
BOOL IsInDebugger(){ BOOL IsInDebugger(){
HANDLE hProcessSnap = NULL; HANDLE hProcessSnap = NULL;
char Expchar[] ="\\EXPLORER.EXE"; char Expchar[] ="\\EXPLORER.EXE";
@ -257,12 +258,12 @@ BOOL IsInDebugger(){
} }
} }
} }
while (Process32Next(hProcessSnap, &pe32)); while (Process32Next(hProcessSnap, &pe32));
CloseHandle (hProcessSnap); CloseHandle (hProcessSnap);
return FALSE; return FALSE;
} }
''' ```
由上述示例代码我们可以看到父进程检测中调用了GetCurrentProcessId函数来判断。 由上述示例代码我们可以看到父进程检测中调用了GetCurrentProcessId函数来判断。
因此在Ollydbg中首先找到GetCurrentProcessId模块Ctrl+N然后设置断点 因此在Ollydbg中首先找到GetCurrentProcessId模块Ctrl+N然后设置断点
![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1557128745/%E8%BD%AF%E4%BB%B6%E7%A0%B4%E8%A7%A3/1.png) ![](https://res.cloudinary.com/dozyfkbg3/image/upload/v1557128745/%E8%BD%AF%E4%BB%B6%E7%A0%B4%E8%A7%A3/1.png)