问一个AntiDebug的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

问一个AntiDebug的问题

发表于: 2004-9-4 20:14 4181

问一个AntiDebug的问题

nbw

2004-9-4 20:14

4181

今天看到了一种Anti Turbo Debugger的方法，大体如下：

因为Turbo Debugger调试开始的时候,会把寄存器都设置为0,但是DOS系统默认的状态为: CX= 00FF h  ,BP= 091C h

所以,如果在代码开始的时候插入:

xor    cx, bp
      ...    some code not affecting cx
      cmp    cx, 93Eh
      jne    TD_is_here
      ...    no debuger here

就可以检测到Turbo Debugger

请问这种方法在现在的系统有没有应用?或者类似的东西有没有见到过阿?

多谢各位高手.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・1

支持

最新回复 (1)
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2 楼当然没用了,但是根本上说DOS环境下和WIN32环境下装载一个程序的方式是不同的.其实你仔细想想现在的查父进程又是为了什么.类比下. 2004-9-6 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nbw

141

发帖

2842

回帖

970

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2 楼当然没用了,但是根本上说DOS环境下和WIN32环境下装载一个程序的方式是不同的.其实你仔细想想现在的查父进程又是为了什么.类比下. 2004-9-6 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复