反调试与虚拟机检测

云南丿小海堂

  

子程序名	返回值类型	公开	备 注
系统_是否被调试	逻辑型

' 整合多种反调试手段，返回真表示正在被调试
' --- 1. 基础API检测 (易被绕过，仅作基础层) ---
如果 (IsDebuggerPresent () 或 CheckRemoteDebuggerPresent (GetCurrentProcess (), 假))
调试输出 (“[!] 检测到基本调试器”)
返回 (真)



' --- 2. 代码段完整性检测 (模仿SE反调试) ---
' 原理：检测代码段是否被写入0xCC断点字节[citation:6]
如果 (检测代码段断点 () ＝ 真)
调试输出 (“[!] 检测到代码段断点”)
返回 (真)



' --- 3. 内存工作集陷阱检测 ---
' 原理：监控特定内存页是否被非法访问[citation:4]
如果 (内存工作集检测 () ＝ 真)
调试输出 (“[!] 检测到内存非法访问”)
返回 (真)



返回 (假)

子程序名	返回值类型	公开	备 注
系统_是否在虚拟机中运行	逻辑型

' 检测VMWare和VPC
返回 (VMWare检测 () 或 VPC检测 ())

子程序名	返回值类型	公开	备 注
检测代码段断点	逻辑型

变量名	类 型	静态	数组	备 注
hModule	整数型
pDosHeader	整数型
pNtHeaders	整数型
NumberOfSections	整数型
pSectionHeader	整数型
i	整数型
VirtualAddress	整数型
SizeOfRawData	整数型
pCodeSection	整数型
当前校验和	整数型
初始代码段校验和	整数型

' 这一段完全是重复上面“计算初始校验和”的逻辑，
' 只是最后一步从“存起来”变成了“拿出来比较”
hModule ＝ GetModuleHandleA (0)
pDosHeader ＝ hModule
如果真 (指针到整数 (pDosHeader) ≠ 23117)
返回 (假)

pNtHeaders ＝ pDosHeader ＋ 指针到整数 (pDosHeader ＋ 60)
如果真 (指针到整数 (pNtHeaders) ≠ 17744)
返回 (假)

NumberOfSections ＝ 指针到整数 (pNtHeaders ＋ 6)
pSectionHeader ＝ pNtHeaders ＋ 24 ＋ 指针到整数 (pNtHeaders ＋ 20)
计次循环首 (NumberOfSections, i)
如果真 (指针到字节集 (pSectionHeader, 8) ＝ { 46, 116, 101, 120, 116, 0, 0, 0 })
VirtualAddress ＝ 指针到整数 (pSectionHeader ＋ 12)
SizeOfRawData ＝ 指针到整数 (pSectionHeader ＋ 16)
跳出循环 ()
pSectionHeader ＝ pSectionHeader ＋ 40
计次循环尾 ()
如果真 (VirtualAddress ＝ 0 或 SizeOfRawData ＝ 0)
返回 (假)

pCodeSection ＝ hModule ＋ VirtualAddress
当前校验和 ＝ 计算内存累加和 (pCodeSection, SizeOfRawData)
' --- 关键：和启动时保存的初始值比较 ---
如果 (当前校验和 ≠ 初始代码段校验和)
返回 (真)  ' 校验和不匹配，说明代码被修改过（比如下了断点）
返回 (假)

子程序名	返回值类型	公开	备 注
计算内存累加和	整数型
参数名	类 型	参考	可空	数组	备 注
pData	整数型
dataSize	整数型

变量名	类 型	静态	数组	备 注
sum	整数型
i	整数型

sum ＝ 0
计次循环首 (dataSize, i)
sum ＝ sum ＋ 指针到字节集 (pData ＋ i － 1, )
计次循环尾 ()
返回 (sum)

子程序名	返回值类型	公开	备 注
VMWare检测	整数型

变量名	类 型	静态	数组	备 注
a	整数型

' 此函数不能在实体机独立运行，否则可能引发异常[citation:3]
置入代码 ({ 184, 104, 88, 77, 86, 187, 0, 0, 0, 0, 185, 10, 0, 0, 0, 186, 88, 86, 0, 0, 237, 129, 251, 104, 88, 77, 86, 15, 148, 69, 252 })
返回 (a)

子程序名	返回值类型	公开	备 注
VPC检测	整数型

变量名	类 型	静态	数组	备 注
a	整数型

' 此函数不能在实体机独立运行，否则可能引发异常[citation:3]
置入代码 ({ 187, 0, 0, 0, 0, 184, 1, 0, 0, 0, 15, 63, 7, 11, 133, 219, 15, 148, 69, 252 })
返回 (a)

子程序名	返回值类型	公开	备 注
内存工作集检测	逻辑型

' 详细实现如上文原理所述，需调用VirtualAlloc、EmptyWorkingSet等API[citation:4]
' 具体代码较长且复杂，建议参考精易论坛相关源码
返回 (假)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 系统_是否被调试, 逻辑型, 公开<br /> <br /> ' 整合多种反调试手段，返回真表示正在被调试<br /> ' --- 1. 基础API检测 (易被绕过，仅作基础层) ---<br /> .如果 (IsDebuggerPresent () 或 CheckRemoteDebuggerPresent (GetCurrentProcess (), 假))<br />     调试输出 (“[!] 检测到基本调试器”)<br />     返回 (真)<br /> .否则<br /> <br /> .如果结束<br /> <br /> ' --- 2. 代码段完整性检测 (模仿SE反调试) ---<br /> ' 原理：检测代码段是否被写入0xCC断点字节[citation:6]<br /> .如果 (检测代码段断点 () ＝ 真)<br />     调试输出 (“[!] 检测到代码段断点”)<br />     返回 (真)<br /> .否则<br /> <br /> .如果结束<br /> <br /> ' --- 3. 内存工作集陷阱检测 ---<br /> ' 原理：监控特定内存页是否被非法访问[citation:4]<br /> .如果 (内存工作集检测 () ＝ 真)<br />     调试输出 (“[!] 检测到内存非法访问”)<br />     返回 (真)<br /> .否则<br /> <br /> .如果结束<br /> <br /> 返回 (假)<br /> <br /> .子程序 系统_是否在虚拟机中运行, 逻辑型, 公开<br /> <br /> ' 检测VMWare和VPC<br /> 返回 (VMWare检测 () 或 VPC检测 ())<br /> <br /> .子程序 检测代码段断点, 逻辑型<br /> .局部变量 hModule, 整数型<br /> .局部变量 pDosHeader, 整数型<br /> .局部变量 pNtHeaders, 整数型<br /> .局部变量 NumberOfSections, 整数型<br /> .局部变量 pSectionHeader, 整数型<br /> .局部变量 i, 整数型<br /> .局部变量 VirtualAddress, 整数型<br /> .局部变量 SizeOfRawData, 整数型<br /> .局部变量 pCodeSection, 整数型<br /> .局部变量 当前校验和, 整数型<br /> .局部变量 初始代码段校验和, 整数型<br /> <br /> ' 这一段完全是重复上面“计算初始校验和”的逻辑，<br /> ' 只是最后一步从“存起来”变成了“拿出来比较”<br /> <br /> hModule ＝ GetModuleHandleA (0)<br /> pDosHeader ＝ hModule<br /> <br /> .如果真 (指针到整数 (pDosHeader) ≠ 23117)<br />     返回 (假)<br /> .如果真结束<br /> <br /> pNtHeaders ＝ pDosHeader ＋ 指针到整数 (pDosHeader ＋ 60)<br /> <br /> .如果真 (指针到整数 (pNtHeaders) ≠ 17744)<br />     返回 (假)<br /> .如果真结束<br /> <br /> NumberOfSections ＝ 指针到整数 (pNtHeaders ＋ 6)<br /> pSectionHeader ＝ pNtHeaders ＋ 24 ＋ 指针到整数 (pNtHeaders ＋ 20)<br /> <br /> .计次循环首 (NumberOfSections, i)<br />     .如果真 (指针到字节集 (pSectionHeader, 8) ＝ { 46, 116, 101, 120, 116, 0, 0, 0 })<br />         VirtualAddress ＝ 指针到整数 (pSectionHeader ＋ 12)<br />         SizeOfRawData ＝ 指针到整数 (pSectionHeader ＋ 16)<br />         跳出循环 ()<br />     .如果真结束<br />     pSectionHeader ＝ pSectionHeader ＋ 40<br /> .计次循环尾 ()<br /> <br /> .如果真 (VirtualAddress ＝ 0 或 SizeOfRawData ＝ 0)<br />     返回 (假)<br /> .如果真结束<br /> <br /> pCodeSection ＝ hModule ＋ VirtualAddress<br /> 当前校验和 ＝ 计算内存累加和 (pCodeSection, SizeOfRawData)<br /> <br /> ' --- 关键：和启动时保存的初始值比较 ---<br /> .如果 (当前校验和 ≠ 初始代码段校验和)<br />     返回 (真)  ' 校验和不匹配，说明代码被修改过（比如下了断点）<br /> .否则<br />     返回 (假)<br /> .如果结束<br /> <br /> <br /> .子程序 计算内存累加和, 整数型<br /> .参数 pData, 整数型<br /> .参数 dataSize, 整数型<br /> .局部变量 sum, 整数型<br /> .局部变量 i, 整数型<br /> <br /> sum ＝ 0<br /> .计次循环首 (dataSize, i)<br />     sum ＝ sum ＋ 指针到字节集 (pData ＋ i － 1, )<br /> .计次循环尾 ()<br /> 返回 (sum)<br /> <br /> .子程序 VMWare检测, 整数型<br /> .局部变量 a, 整数型<br /> <br /> ' 此函数不能在实体机独立运行，否则可能引发异常[citation:3]<br /> 置入代码 ({ 184, 104, 88, 77, 86, 187, 0, 0, 0, 0, 185, 10, 0, 0, 0, 186, 88, 86, 0, 0, 237, 129, 251, 104, 88, 77, 86, 15, 148, 69, 252 })<br /> 返回 (a)<br /> <br /> .子程序 VPC检测, 整数型<br /> .局部变量 a, 整数型<br /> <br /> ' 此函数不能在实体机独立运行，否则可能引发异常[citation:3]<br /> 置入代码 ({ 187, 0, 0, 0, 0, 184, 1, 0, 0, 0, 15, 63, 7, 11, 133, 219, 15, 148, 69, 252 })<br /> 返回 (a)<br /> <br /> .子程序 内存工作集检测, 逻辑型<br /> <br /> ' 详细实现如上文原理所述，需调用VirtualAlloc、EmptyWorkingSet等API[citation:4]<br /> ' 具体代码较长且复杂，建议参考精易论坛相关源码<br /> 返回 (假)

  

DLL命令名	返回值类型	公开	备 注
IsDebuggerPresent	逻辑型		检测自己是否正在被调试，调试中返回真，没有被调试返回假
DLL库文件名:
kernel32
在DLL库中对应命令名:
IsDebuggerPresent
参数名	类 型	传址	数组	备 注

DLL命令名	返回值类型	公开	备 注
CheckRemoteDebuggerPresent	逻辑型		检测指定进程是否正在被调试
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
CheckRemoteDebuggerPresent
参数名	类 型	传址	数组	备 注
hProcess	整数型			进程句柄
pbDebuggerPresent	逻辑型			是否被调试

DLL命令名	返回值类型	公开	备 注
GetCurrentProcess	整数型
DLL库文件名:
kernel32
在DLL库中对应命令名:
GetCurrentProcess
参数名	类 型	传址	数组	备 注

.版本 2<br /> <br /> .DLL命令 IsDebuggerPresent, 逻辑型, "kernel32", "IsDebuggerPresent", , 检测自己是否正在被调试，调试中返回真，没有被调试返回假<br /> <br /> .DLL命令 CheckRemoteDebuggerPresent, 逻辑型, "kernel32.dll", "CheckRemoteDebuggerPresent", , 检测指定进程是否正在被调试<br />     .参数 hProcess, 整数型, , 进程句柄<br />     .参数 pbDebuggerPresent, 逻辑型, 传址, 是否被调试<br /> <br /> .DLL命令 GetCurrentProcess, 整数型, "kernel32", "GetCurrentProcess"

2857

666666666666666666666

a13149057125

谢谢分享,期待没有BUG

year1970

感谢分享

wgqxj

谢谢分享

llc2022

363666666666

15158930038

非常支持