能力值:
![]()
(RANK:260 )
|
-
-
2 楼
函数通过填充结构体来返回信息.请查阅MSDN上STARTUPINFO结构体的定义.
其检测调试器的原理如下(应该学会使用论坛的搜索功能):
Window创建进程的时候会把STARTUPINFO结构中的值设为0,而通过调试器创建进程的时候会忽略这个结构中的值,也就是结构中的值不为0,所以可以利用这个来判断是否在调试程序。
STARTUPINFO si;
ZeroMemory( &si, sizeof(si) );
si.cb = sizeof(si);
GetStartupInfo(&si);
if ( (si.dwX != 0) || (si.dwY !=0)
|| (si.dwXCountChars != 0) || (si.dwYCountChars !=0 )
|| (si.dwFillAttribute != 0) || (si.dwXSize != 0)
|| (si.dwYSize != 0) )
return true;
else
return false;
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
那我在调试的时候也把它设为0不就可以躲过了?
|
能力值:
![]()
(RANK:260 )
|
-
-
4 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
好的,多谢彭兄~~
|
|
|
