我有点想把它更多地作为一个思想实验(我在聊天中询问过它,但被指示在这里)。但如果有帮助,我可以提供代码。这是场景!
进程 1 正在运行并不断调试进程 2,我已将一个 DLL 注入到进程 2 中并绕过它所依赖的 Windows 函数之一,以便我可以执行自己的代码。有没有办法从进程 2 中阻止进程 1 继续调试进程 2?
问问题
345 次
1 回答
0
我不知道你对“防止调试”有什么特别的意思。
您可以使用 NtSetInformationThread 避免调试器接收与您的进程相关的任何事件
push 0
push 0
push 11h ;ThreadHideFromDebugger
push -2 ;GetCurrentThread() // you can use it on every thread
call NtSetInformationThread
参考:Peter Ferrie 反调试技巧 http://pferrie.host22.com/papers/antidebug.pdf
于 2013-08-13T03:27:37.963 回答