小编点评

**异常处理函数的安装和调试：** 1. **安装异常处理函数：** - 使用 `SetUnhandledExceptionFilter()` 函数安装自定义异常处理函数。 - 自定义函数应该接收异常信息并返回 `EXCEPTION_CONTINUE_EXECUTION`。 2. **设置 IsDebug 函数：** - 使用 `IsDebug()` 函数检查是否被调试器附加。 - 如果被调试器附加，则执行 `_asm call pBuff` 指令，其中 `pBuff` 是一个指向要执行的代码的指针。 3. **调试器忽略 int3 中断：** - 在调试器中，要确保“忽略 int3 中断”选项被勾选。 4. **在程序启动前安装异常处理函数：** - 在程序启动前使用 `SetUnhandledExceptionFilter()` 安装自己的异常处理函数。 5. **在调试器中设置断点：** - 在调试器中设置断点在需要调试的代码段上。 **示例代码：** ```c #include #include BOOL IsDebug() { // 检查是否被调试器附加 return FALSE; } void ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo) { // 处理异常 } int main() { if (!IsDebug()) { printf("[-] 程序正在被调试 \\"); } // 设置异常处理函数 SetUnhandledExceptionFilter(ExceptionFilter); // 设置断点 __int32 break_point = 10; _asm { push eax mov eax, 4ch jmp break_point // 编写要执行的代码 } _asm { pop eax } return 0; } ``` **注意：** - 该代码仅供参考，可能需要根据实际需求进行修改。 - 在调试程序时，请确保异常处理函数正常执行。

正文

通常可以通过在程序中设置异常处理函数，并在其中发起一个异常，然后判断程序是否已经被调试器附加来实现反调试。如果异常处理函数没有被触发，则说明程序已经被调试器附加；如果异常处理函数被触发，则说明程序没有被调试器附加。

安装异常处理函数并手动触发，此时如果被调试器附加，则会不走异常处理流程，此时IsDebug将会返回默认的False，并直接走_asm call pBuff;在调试器不忽略int3中断的情况下，调试将会被终止。

#include <Windows.h>
#include <stdio.h>

BOOL Exceptioni = FALSE;

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo)
{
    Exceptioni = TRUE;
    return EXCEPTION_CONTINUE_EXECUTION;
}

BOOL IsDebug()
{
    ULONG OldProtect = 0;
    LPTOP_LEVEL_EXCEPTION_FILTER lpsetun;
    
    // 安装自己实现的 ExceptionFilter 自定义异常处理函数
    lpsetun = SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)ExceptionFilter);
    LPVOID pBuff = VirtualAlloc(NULL, 0x1000, MEM_COMMIT, PAGE_READWRITE);
    
    *((PWORD)pBuff) = 0xc3;
    
    VirtualProtect(pBuff, 0x1000, PAGE_EXECUTE_READ | PAGE_GUARD, &OldProtect);

    _asm call pBuff;                       // 如果被调试,则执行中断,不会进行异常处理
    SetUnhandledExceptionFilter(lpsetun);  // 恢复异常处理
    return Exceptioni;
}

int main(int argc, char * argv[])
{
    if (!IsDebug())
    {
        printf("[-] 程序正在被调试 \n");
    }

    system("pause");
    return 0;
}