该函数的唯一一个参数为异常处理函数指针。当程序发生异常是,且程序不处于调试模式(在VS或者其他调试器里运行)则首先调用该异常处理函数。因此,程序可以主动抛出一个异常来判断当前程序是否正在被调试，这是该程序安装的其中一个异常处理函数,当有异常发生并且当前程序没有被调试的情况下,该异常处理函数将得以执行。

我们回到OD中,看到SetUnhandledExceptionFilter的调用处。

NTSTATUS WINAPI ZwQueryInformationProcess(
  _In_      HANDLE           ProcessHandle,
  _In_      PROCESSINFOCLASS ProcessInformationClass,
  _Out_     PVOID            ProcessInformation,
  _In_      ULONG            ProcessInformationLength,
  _Out_opt_ PULONG           ReturnLength
);

进程处于调试状态时，系统会为它分配一个调试端口，第2个参数传7时，NtQueryInformationProcess()就能获取调试端口的值，调试状态该值为0xFFFFFFFF，正常运行时该值为0。同样，有一个API也可以检测调试端口的值：CheckRemoteDebuggerPresent()。CTRL+G定位到该函数实现部分，发现该函数其实就是内部调用了一下第2个参数为7的NtQueryInformationProcess：(实际调用的Zw版的函数，功能相同)

       进程被调试时会生成调试对象，当函数的第2个参数值为0x1E(ProcessDebugObjectHandle)时就能获取调试对象句柄，正常运行时该值为0，调试运行时该值为非0值。

       破解方法：如果被调试程序只是调用几次API，而不是在多个地方反复调用，我们可以在调用的时候手动修改特定参数下的调用结果：修改返回值或函数参数指向的内存。像上面的例子一样，我们可以在该函数调用结束的后手动修改参数指向的内存，修改调用结果。当函数调用传参为7/0x1E的时候，修改其第3个参数获取的值： 如果该函数在多个地方被反复调用，那么我们可以采取API HOOK的技术，修改函数内部执行代码的流程。

      这里选择将两个反调试全部改成nop(发觉还是不行，后面还有调试）所以这里选择使用od自带的反调试插件。这里还是不行，直接将409150处改成retn

14.还是手动绕过吧

将0x409150函数改成retn]

位置0x4072a3在进入

位置：0x4072c9处nop

位置：0x407437处nop

位置：0x407463处nop

15.进入之后0x40b970处为输入的数据。取出第一个数据放入cl,取出第7个数据放入dl,然后将第一个数据和第七个数据放入0x40b990处

 16.0x407488处又取出第七个数据，将数据和0x36异或之后放入到0x40c450处 

GetThreadContext这个API。GetThreadContext的原型如下： 

BOOL WINAPI GetThreadContext(
  __in     HANDLE hThread,
  __inout  LPCONTEXT lpContext
)

typedef struct DECLSPEC_ALIGN(16) _CONTEXT {
...
// Debug registers
//
DWORD64 Dr0;
DWORD64 Dr1;
DWORD64 Dr2;
DWORD64 Dr3;
DWORD64 Dr6;
DWORD64 Dr7 
...

} CONTEXT;