[讨论]驱动层如何检测某个进程有没有被调试?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼没有吧驱动也不是万能的 2009-3-19 17:57 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 3 楼肉眼是万能的 2009-3-19 18:00 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 PsGetProcessDebugPort。不过站在破解者角度来看，你用越标准API就越容易被欺骗。Windows就那几个版本，硬编码一下也不是很费事。 2009-3-19 19:19 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 5 楼谢谢楼上的几位.硬编码从安全角度来讲是不错.不过兼容性差了点. 做产品安全的比破解的麻烦啊,得保证稳定,又得保证兼容性OK. 否则做得再强大,新的操作系统一出来,不兼容一旦出现,再强大的保护从产品角度来看都变得不再有用. 不知道NtQueryInformationProcess 是否可以得到debugport. 里面有一个参数是可以设置为ProcessDebugPort. 2009-3-20 09:18 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 6 楼可以用NtQueryInformationProcess的怕硬编码的话可以从PsGetProcessDebugPort 这样的函数里搜索偏移 2009-3-20 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼没有吧驱动也不是万能的 2009-3-19 17:57 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 3 楼肉眼是万能的 2009-3-19 18:00 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 4 楼 PsGetProcessDebugPort。不过站在破解者角度来看，你用越标准API就越容易被欺骗。Windows就那几个版本，硬编码一下也不是很费事。 2009-3-19 19:19 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 5 楼谢谢楼上的几位.硬编码从安全角度来讲是不错.不过兼容性差了点. 做产品安全的比破解的麻烦啊,得保证稳定,又得保证兼容性OK. 否则做得再强大,新的操作系统一出来,不兼容一旦出现,再强大的保护从产品角度来看都变得不再有用. 不知道NtQueryInformationProcess 是否可以得到debugport. 里面有一个参数是可以设置为ProcessDebugPort. 2009-3-20 09:18 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 6 楼可以用NtQueryInformationProcess的怕硬编码的话可以从PsGetProcessDebugPort 这样的函数里搜索偏移 2009-3-20 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复