2021年8月30日

摘要: 1 void IrpTest(PDRIVER_OBJECT DriverObject) 2 { 3 DriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutin; 4 DriverObject->MajorFunction[I 阅读全文
posted @ 2021-08-30 20:25 Sna1lGo 阅读(198) 评论(0) 推荐(0) 编辑
 
摘要: 反调试——3——反调试手段 反调试的方法有非常非常多,这里介绍一些比较常见的。 通过CloseHandle() 通过CloseHandle来试图关闭一个不存在的句柄,如果程序处于调试状态就会引发异常,否则没有任何反应。 这种机制在User下看起来就是调用一个CloseHandle,但是其实它的内部逻 阅读全文
posted @ 2021-08-30 17:43 Sna1lGo 阅读(319) 评论(0) 推荐(0) 编辑
 
摘要: 反调试——2——深入NtQueryInformationProcess ProcessDebugPort这个标志位里面涉及到的东西比较复杂,所以要展开来讲。 CheckRemoteDebuggerPresent(): CheckRemoteDebuggerPresent function (debu 阅读全文
posted @ 2021-08-30 16:53 Sna1lGo 阅读(1601) 评论(0) 推荐(0) 编辑