原创力文档- 2
- 0
- 约4.88千字
- 约 8页
- 2026-06-24 发布于北京
- 举报
静态反调试技术
一、PEB
(1)有两种方法获取PEB结构体地址
方法一:moveax,dwordptrfs:[0x30];//fs[0x30]=地址为PEB方法二:
moveax,dwordptrfs:[0x18];//fs[0x18]=地址为TEBmovax,dword
+0+0
ptrds:[eaxx30];ds[eaxx30]=地址为PEB
+0状态
(2)成员BeingDebugged(x2)=1处于调试
示例:IsDebuggerPresent()API获取PEB.BeingDebugged值来判断是否处于调试状态
+0
(3)成员Ldr(xC)此方法仅在winxp中有效
调试进程时,堆内存中会出现一些特殊标识,标识它正处于调试状态。其中最醒目的是,未
使用的堆内存区域全部填充0xEEFEEEFE
PEBL___
.dr成员是指向堆内存中创建的结构体的指针PEBLDRDATA
+0
(4)进程堆(x18)此方法仅在winxp中
您可能关注的文档
最近下载
- 2023年春人文英语4综合练习(Comprehensive Test) 题库1及答案.pdf
- 生产车间操作规程试题附答案.docx VIP
- 多元统计分析及R语言建模(暨南大学)中国大学MOOC慕课 章节测验期末考试答案.docx VIP
- DB32T 4290-2022 特种设备用流量计(壳体)安全技术条件.pdf VIP
- 第二单元《动物的一生》第8课《动物的生命周期》核心素养教案含反思 2026教科版科学三年级下册.docx
- 《油浸式变压器(电抗器)整装搬运更换 技术导则》.docx
- 入团志愿书空表模板(可打印用).doc VIP
- 污水處理名词COD是一种常用的评价水体污染程度的综合性指标.doc VIP
- 兼职小本创业培训资料龙岩泡鸭爪技术.pptx
- 承压设备用流量计壳体安全技术规范.pdf VIP
文档评论(0)