小编点评

## StartupInfo 结构体介绍 StartupInfo 结构体是一个用于指定新进程的配置结构体，包含以下重要成员： * **dwFlags**：控制是否允许调试器附加到该进程。默认值为 STARTF_NORMAL，表示不允许调试器附加。如果设置为 STARTF_DEBUGONLYTHISPROCESS，则调试器将直接失败并退出。 **其他成员：** * **cbReserved**：保留值，用于 future use。 * **lpDesktop**：指向当前工作区的桌面指针。 * **lIcon**：指向应用程序的图标指针。 * **szIcon**：应用程序图标的宽度。 * **dwState**：进程状态。 * **wCreationTime**：进程创建时间的毫秒数。 * **dwVirtualMemorySize**：虚拟内存大小。 ## 反调试技术实现方法 可以通过设置 dwFlags 参数来实现反调试技术，具体取决于您的需求： * **设置 dwFlags 为 STARTF_DEBUGONLYTHISPROCESS**：只有在通过调试器启动程序时才允许调试器附加到该进程。 * **通过判断 dwFlags 参数的值来控制调试器的启动方式**：例如，如果 dwFlags 为 0，则表示不允许调试器启动程序，如果 dwFlags 为 STARTF_DEBUGONLYTHISPROCESS，则表示只允许在启用的调试器中启动程序。 ## 示例代码 ```c #include <Windows.h>#include <stdio.h> BOOL IsDebug() { STARTUPINFO si = { 0 }; GetStartupInfo(&si); return si.dwFlags != 1; } int main(int argc, char * argv[]){ if (IsDebug()) { printf("\[-] 正在被调试 \\"); } system("pause"); return 0; } ``` **运行该程序，并在启动时使用调试器启动它。** 在程序运行过程中，如果 dwFlags 值为 0，则表示调试器无法附加到该进程，程序将不会启动。如果 dwFlags 值为 STARTF_DEBUGONLYTHISPROCESS，则调试器将无法启动程序，但程序不会退出。

正文

STARTUPINFO 结构体，可以用来指定新进程的主窗口外观风格、背景颜色、标题等信息，也可以用来实现反调试技术。通常情况下，我们可以将STARTUPINFO结构体中的dwFlags成员设置为STARTF_DEBUGONLYTHISPROCESS，以防止调试器附加到当前进程。设置了STARTF_DEBUGONLYTHISPROCESS后，如果尝试通过调试器附加到该进程，则调试器将直接失败并退出。

程序启动时默认会通过explorer资源管理器，调用CreateProcess()函数创建的时候会把STARTUPINFO结构体中的值设置为0，但如果通过调试器启动程序时该值并不会发生变化，我们可以通过判断结构体中的dwFlags参数来实现反调试。

#include <Windows.h>
#include <stdio.h>

BOOL IsDebug()
{
    STARTUPINFO si = { 0 };
    GetStartupInfo(&si);

    if (si.dwFlags != 1)
    {
        return TRUE;
    }
    return FALSE;
}

int main(int argc, char * argv[])
{
    if (IsDebug())
    {
        printf("[-] 正在被调试 \n");
    }

    system("pause");
    return 0;
}