简单的反调试技巧介绍

关于反调试与反反调试的一些技术，很多人喜欢面试的时候拿来问别人，我这里给大家总结一下，供大家参考学习，多调试多实战分析一些样本就慢慢理解了。

PEB

PEB包含了进程调试相关信息，通过PEB结构体中的标志位，实现反调试，PEB结构中有两个标志位：BeingDebugged和NtGlobalFlag，反调试代码，如下所示：

如果进程被调试，则BeingDebugged值为0x1，NtGlobalFlag值为0x70，如果进程没有被调试，则这两个值为0x0

如何获取PEB结构信息，可以通过windbg，打开windbg调试程序，然后使用命令!peb，如下所示：

使用命令：dt nt!_PEB 000000c63a87c000（PEB地址），就可以得到PEB结构，如下所示：

可以看到被调试的这个进程的PEB中BeingDebugged的值为0x1，NtGlobalFlag的值为0x70

原文始发于微信公众号（安全分析与研究）：简单的反调试技巧介绍