代码及关键注释如下:

.386
.model flat, stdcall
option casemap :none

include                f:\masm32\include\windows.inc
include                f:\masm32\include\kernel32.inc
includelib        f:\masm32\lib\kernel32.lib
include                f:\masm32\include\user32.inc
includelib        f:\masm32\lib\user32.lib

.data
szFileName        db        'ntdll.dll',0
szTitle                db        'Title',0
szText_1        db        'No found Debugger!',0
szText_2        db        'Found Debugger!',0

szPath        db        MAX_PATH        dup (0)

.code

start:
        push        ebp
        mov        ebp,esp
;/////////////////////////////////////
        ;xor        eax,eax
        mov        ecx,4d
        lahf
        shr        eax,8d       
        shr        eax,7d        ;TF
        add        ecx,eax
        sub        esp,ecx        ;ecx为4*n+1时CreateFile调用失败
;/////////////////////////////////////
        invoke        GetModuleHandle,offset szFileName
        invoke        GetModuleFileName,eax,addr szPath,MAX_PATH
        invoke        CreateFile,addr szPath,GENERIC_READ,FILE_SHARE_READ\
                         ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE,NULL
        .if        eax != INVALID_HANDLE_VALUE
                push eax
                invoke        MessageBox,0,offset szText_1,offset szTitle,0
                pop        eax
                invoke        CloseHandle,eax
                jmp        @@end
        .endif
        inc        esp
        invoke        MessageBox,0,offset szText_2,offset szTitle,0
        @@end:
        leave
        ret
end start

CreateFile的这种特性是在一次无意中发现的 好像分配缓冲区的大小满足4*n 就没问题
请问这种方法能不能用来反调试呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课