反调试 - 精易论坛 - Powered by Discuz!

子程序反调试

变量名	类型	静态	数组	备注
IsDebuggerPresent	整数型
CheckRemoteDebuggerPresent	布尔型
NtGlobalFlag	整数型
ParentProcessID	整数型

如果 (调试存在 ())

信息框 ("程序正在被调试，即将退出...", 0, "")

延迟 (5000)

结束程序 (0)

如果 (远程调试存在 (0))

信息框 ("程序正在被调试，即将退出...", 0, "")

延迟 (5000)

结束程序 (0)

如果 (父进程ID () == 1)

信息框 ("程序正在被调试，即将退出...", 0, "")

延迟 (5000)

结束程序 (0)

如果 (Nt全局标志 () == 112)

信息框 ("程序正在被调试，即将退出...", 0, "")

延迟 (5000)

结束程序 (0)

' 其他反调试检查...

' 注意: 易语言中没有直接等价于Python中某些函数的实现，

' 如 NtQueryInformationProcess, DebugActiveProcess 等，

' 因此这些部分可能需要使用其他方法或API来实现。

.结束如果

.结束如果
.结束如果

子程序名	返回值类型	公开	备注
调试存在	布尔型

变量名	类型	静态	数组	备注
result	布尔型

result ＝调试器存在 ()
返回 result

子程序名	返回值类型	公开	备注
远程调试存在	布尔型

变量名	类型	静态	数组	备注
result	布尔型
pid	整数型

pid ＝进程ID ()
调用 (“kernel32.dll”, “CheckRemoteDebuggerPresent”, “i”, pid, “p”, &result)
返回 result

子程序名	返回值类型	公开	备注
父进程ID	整数型

变量名	类型	静态	数组	备注
parentPID	整数型

parentPID ＝父进程ID ()
返回 parentPID

子程序名	返回值类型	公开	备注
Nt全局标志	整数型

变量名	类型	静态	数组	备注
flag	整数型

调用 ("ntdll.dll", "RtlGetNtGlobalFlag", "i")
返回 flag

子程序名	返回值类型	公开	备注
结束程序	整数型
参数名	类型	参考	可空	数组	备注
code	整数型

退出代码 (code)

子程序名	返回值类型	公开	备注
延迟	整数型
参数名	类型	参考	可空	数组	备注
milliseconds	整数型

延时 (milliseconds)

子程序名	返回值类型	公开	备注
信息框	整数型
参数名	类型	参考	可空	数组	备注
message	文本型
style	整数型
title	文本型

消息框 (message, style, title, 0)

.版本 2<br />
<br />
子程序 反调试<br />
.局部变量 IsDebuggerPresent, 整数型<br />
.局部变量 CheckRemoteDebuggerPresent, 布尔型<br />
.局部变量 NtGlobalFlag, 整数型<br />
.局部变量 ParentProcessID, 整数型<br />
<br />
.如果 (调试存在())<br />
    信息框("程序正在被调试，即将退出...", 0, "")<br />
    延迟(5000)<br />
    结束程序(0)<br />
.否则<br />
    .如果 (远程调试存在(0))<br />
        信息框("程序正在被调试，即将退出...", 0, "")<br />
        延迟(5000)<br />
        结束程序(0)<br />
    .否则<br />
        .如果 (父进程ID() == 1)<br />
            信息框("程序正在被调试，即将退出...", 0, "")<br />
            延迟(5000)<br />
            结束程序(0)<br />
        .否则<br />
            .如果 (Nt全局标志() == 112)<br />
                信息框("程序正在被调试，即将退出...", 0, "")<br />
                延迟(5000)<br />
                结束程序(0)<br />
            .否则<br />
                ' 其他反调试检查...<br />
                ' 注意: 易语言中没有直接等价于Python中某些函数的实现，<br />
                ' 如 NtQueryInformationProcess, DebugActiveProcess 等，<br />
                ' 因此这些部分可能需要使用其他方法或API来实现。<br />
            .结束如果<br />
        .结束如果<br />
    .结束如果<br />
.结束如果<br />
<br />
.子程序 调试存在, 布尔型<br />
.局部变量 result, 布尔型<br />
result ＝ 调试器存在()<br />
返回 result<br />
<br />
.子程序 远程调试存在, 布尔型, 公开<br />
.局部变量 result, 布尔型<br />
.局部变量 pid, 整数型<br />
pid ＝ 进程ID()<br />
调用 (“kernel32.dll”, “CheckRemoteDebuggerPresent”, “i”, pid, “p”, &result)<br />
返回 result<br />
<br />
.子程序 父进程ID, 整数型<br />
.局部变量 parentPID, 整数型<br />
parentPID ＝ 父进程ID()<br />
返回 parentPID<br />
<br />
.子程序 Nt全局标志, 整数型<br />
.局部变量 flag, 整数型<br />
调用 ("ntdll.dll", "RtlGetNtGlobalFlag", "i")<br />
返回 flag<br />
<br />
.子程序 结束程序, 整数型<br />
.参数 code, 整数型<br />
退出代码 (code)<br />
<br />
.子程序 延迟, 整数型<br />
.参数 milliseconds, 整数型<br />
延时 (milliseconds)<br />
<br />
.子程序 信息框, 整数型<br />
.参数 message, 文本型<br />
.参数 style, 整数型<br />
.参数 title, 文本型<br />
消息框 (message, style, title, 0)