反调试新思路：利用内存工作集检测非法访问

17176qq · 发表于 2025-8-4 23:19:15

本帖最后由 17176qq 于 2025-8-4 23:33 编辑

实现原理：创建一个特定的“陷阱”内存页，然后将其从进程的**工作集（Working Set）**中清除。

创建陷阱内存：
程序使用 VirtualAlloc 分配一块 4096 字节的内存区域作为“陷阱”。

清除工作集：
调用 EmptyWorkingSet，将所有内存页从物理内存中移除。此时，陷阱内存页的 Valid 标志位变为 0。

循环检测：
程序使用 QueryWorkingSetEx 持续监控陷阱内存页的状态。通过位运算（位与 (PWINFO.PSAPI_WORKING_SET_EX_BLOCK, 1)）来检查 Valid 标志。

检测非法访问：
一旦有调试器或 Hook 程序尝试访问这块内存，Windows 会触发缺页中断，并将该页面重新加载到物理内存。这时，Valid 标志就会从 0 变为 1。

触发警报：
程序检测到 Valid 标志变为 1 后，会立即弹窗并结束程序，从而实现反调试。

子程序名	返回值类型	公开	备注
TrapThread

变量名	类型	静态	数组	备注
TrapAddress	整数型
PWINFO	PSAPI_WORKING_SET_EX_INFORMATION

TrapAddress ＝ VirtualAlloc (0, 4096, 位或 ( #MEM_COMMIT, #MEM_RESERVE ), #PAGE_READWRITE )
PWINFO.VirtualAddress ＝ TrapAddress

如果真 (EmptyWorkingSet (GetCurrentProcess ()))

判断循环首 (QueryWorkingSetEx (GetCurrentProcess (), PWINFO, 12))

如果真 (位与 (PWINFO.PSAPI_WORKING_SET_EX_BLOCK, 1) ＝ 1)

跳出循环 ()

延时 (100)

判断循环尾 ()

信息框 (“检测到非法访问”, 0, , )

结束 ()

i支持库列表	支持库注释
const	(未知支持库)

反调试之内存非法访问.e (3.23 KB, 下载次数: 165, 售价: 2 枚精币)

17176qq · 发表于 2025-8-5 09:57:52

绕过方式也很简单，第三方访问前先检查Valid 标志（QueryWorkingSetEx ）如果是0就不进行访问。
攻防无绝对，反调试配合起来使用效果才能达到最佳。可扩展性还是很强的，只是提供一个思路和简单的例子，给大家学习参考一起研究。
有些小丑连原理都没研究明白就过来指责，怪不得论坛没人分享什么有用的东西了。

maxxunxun · 发表于 2025-9-12 11:47:45

感谢非常不实用

一个小男人 · 发表于 2025-9-2 03:17:29

很有用，感谢楼主分享

反客为主 · 发表于 2025-8-31 08:53:34

66666666666666666666666666666666666

ΒΜΧ · 发表于 2025-8-31 06:14:52

EasonC · 发表于 2025-8-30 10:47:48

li6607 · 发表于 2025-8-29 18:30:03

感谢非常实用

啦啦啦呼呼呼 · 发表于 2025-8-28 17:44:24

希望对我的软件有帮助！

在我眼里 · 发表于 2025-8-28 14:34:09

看看，谢谢。

aa1921550379 · 发表于 2025-8-27 23:23:29

非常好的参考源码

		自动登录	找回密码
密码			注册

[易语言纯源码] 反调试新思路：利用内存工作集检测非法访问

点评

评分

本帖被以下淘专辑推荐:

点评

浏览过的版块