小编点评

**RDTSC时钟检测方法** RDTSC是一种汇编指令，它返回系统重新启动以来的时钟数。可以使用 RDTSC 指令在程序运行期间检测程序是否被调试器附加。 **步骤：** 1. 获取当前时间戳 T1。 2. 执行一段代码，例如随机生成一个数字或显示消息框。 3. 获取当前时间戳 T2。 4. 计算时间戳之差，即 T2-T1。 5. 如果差值较小，则表明程序正在被调试器跟踪。 **代码：** ```c #include #include BOOL IsDebug() { int Debug = 0; __asm { rdtsc // 调用时钟 xor ecx, ecx // 清空 ecx add ecx, eax // 将 eax与ecx相加 rdtsc // 再次调用时钟 sub eax, ecx // 两次结果做差值 mov Debug, eax // 将差值存入 Debug 变量中 printf("打印差值: %d \\", Debug); } if (Debug >= 21) { return TRUE; } return FALSE; } int main() { if (IsDebug()) { printf("[-] 进程正在被调试 \\"); } system("pause"); return 0; } ``` **注释：** * `rdtsc` 指令返回 CPU 时钟计数器的值。 * `xor ecx, ecx` 清空 `ecx` 寄存器。 * `add ecx, eax` 将 `eax` 与 `ecx` 相加，并将结果存入 `Debug` 变量中。 * `rdtsc` 指令再次调用 `rdtsc` 指令，并将结果减去 `eax`，即得到时间戳之差。 * `mov Debug, eax` 将时间戳差值存入 `Debug` 变量中。 * `printf` 函数用于打印差值。 * `system("pause")` 阻塞程序，直到用户按下任意键退出。

正文

RDTSC时钟检测同样可实现反调试检测，使用时钟检测方法是利用rdtsc汇编指令，它返回至系统重新启动以来的时钟数，并且将其作为一个64位的值存入EDX:EAX寄存器中，通过运行两次rdstc指令，然后计算出他们之间的差值，即可判定对方是否在调试我们的程序。

可以利用时钟检测技术来检测程序是否被调试器附加，其实现基本思路如下：

• 获取当前时间戳 T1，即通过执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
• 执行一段代码，例如随机生成一个数字或者MessageBox等，使得程序中断一些时间，防止被调试器单步跟踪。
• 获取当前时间戳 T2，即通过再次执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
• 计算时间戳之差，即 T2-T1，如果该差值较小，则表明程序正在被调试器跟踪。

#include <Windows.h>
#include <stdio.h>

BOOL IsDebug()
{
    int Debug = 0;
    __asm
    {
        rdtsc           // 调用时钟
        xor ecx, ecx
        add ecx, eax    // 将eax与ecx相加
        rdtsc           // 再次调用时钟
        sub eax, ecx    // 两次结果做差值
        mov Debug, eax
    }
    
    printf("打印差值: %d \n", Debug);
    if (Debug >= 21)
    {
        return TRUE;
    }

    return FALSE;
}

int main(int argc, char * argv[])
{
    if (IsDebug())
    {
        printf("[-] 进程正在被调试 \n");
    }

    system("pause");
    return 0;
}