[译]The other ways to detect OllyDbg 检测OllyDbg的另类方法-外文翻译-看雪-安全社区|安全招聘|kanxue.com

最新回复 (28) ◀ 1 2
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 26 楼最初由 blowjob 发布 RoBa老大，原文在哪里啊？我的博客主页 2005-1-17 23:00 0
SundiyOne 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	SundiyOne 27 楼一个字：好！:) 2005-1-19 10:30 0
qfejj 雪币： 261 活跃值： (162) 能力值： ( LV13，RANK：320 ) 在线值：发帖 11 回帖 139 粉丝 1 关注私信	qfejj 7 28 楼第二种再加一个explorer路径检测就可以难对付一些，用delphi描述如下： procedure CheckParentProc；　　var //检查自己的进程的父进程　　Pn: TProcesseNtry32；　　sHandle:THandle；　　H，ExplProc，ParentProc:Hwnd；　　Found:Boolean；　　Buffer:array[0..1023]of Char；　　　Path:string；　　begin 　　H:= 0；　　ExplProc:= 0；　　ParentProc:= 0；　　//得到Windows的目录　　SetString（Path，Buffer）　　GetWindowsDirectory（Buffer，Sizeof（Buffer）- 1））；　　Path:= UpperCase（Path）+ '\EXPLORER.EXE'；//得到Explorer的路径　　//得到所有进程的列表快照　　sHandle:= CreateToolHelp32Snap Shot（TH32CS_SNAPALL，0）；　　Found:= Process32First（sHandle，Pn）；//查找进程　　while Found do //遍历所有进程　　begin 　　if Pn.szExeFile = ParamStr（0）then //自己的进程　　begin 　　ParentProc:= Pn.th32ParentProcessID://得到父进程的进程ID 　　//父进程的句柄　　H:= OpenProcess（PRO CESS_ALL_ACCESS，True，Pn.th32Parent ProcessID）；　　end 　　else if UpperCase（Pn.szExeFile）= Path then 　　ExplProc:= Pn.th32ProcessID；//Explorer的PID 　　Found:= Process32Next（sHandle，Pn）；//查找下一个　　end；　　//父进程不是Explorer，是调试器…… 　　if ParentProc <> ExplProc then 　　begin 　　TerminateProcess（H，0）；//杀之!除之而后快也! 　　　end? 　　end? 2005-3-14 10:17 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 29 楼辛苦了! 2005-3-19 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (28) ◀ 1 2
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 26 楼最初由 blowjob 发布 RoBa老大，原文在哪里啊？我的博客主页 2005-1-17 23:00 0
SundiyOne 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	SundiyOne 27 楼一个字：好！:) 2005-1-19 10:30 0
qfejj 雪币： 261 活跃值： (162) 能力值： ( LV13，RANK：320 ) 在线值：发帖 11 回帖 139 粉丝 1 关注私信	qfejj 7 28 楼第二种再加一个explorer路径检测就可以难对付一些，用delphi描述如下： procedure CheckParentProc；　　var //检查自己的进程的父进程　　Pn: TProcesseNtry32；　　sHandle:THandle；　　H，ExplProc，ParentProc:Hwnd；　　Found:Boolean；　　Buffer:array[0..1023]of Char；　　　Path:string；　　begin 　　H:= 0；　　ExplProc:= 0；　　ParentProc:= 0；　　//得到Windows的目录　　SetString（Path，Buffer）　　GetWindowsDirectory（Buffer，Sizeof（Buffer）- 1））；　　Path:= UpperCase（Path）+ '\EXPLORER.EXE'；//得到Explorer的路径　　//得到所有进程的列表快照　　sHandle:= CreateToolHelp32Snap Shot（TH32CS_SNAPALL，0）；　　Found:= Process32First（sHandle，Pn）；//查找进程　　while Found do //遍历所有进程　　begin 　　if Pn.szExeFile = ParamStr（0）then //自己的进程　　begin 　　ParentProc:= Pn.th32ParentProcessID://得到父进程的进程ID 　　//父进程的句柄　　H:= OpenProcess（PRO CESS_ALL_ACCESS，True，Pn.th32Parent ProcessID）；　　end 　　else if UpperCase（Pn.szExeFile）= Path then 　　ExplProc:= Pn.th32ProcessID；//Explorer的PID 　　Found:= Process32Next（sHandle，Pn）；//查找下一个　　end；　　//父进程不是Explorer，是调试器…… 　　if ParentProc <> ExplProc then 　　begin 　　TerminateProcess（H，0）；//杀之!除之而后快也! 　　　end? 　　end? 2005-3-14 10:17 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 29 楼辛苦了! 2005-3-19 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复