C++博客-Dophi's Technology Blog-最新评论

C++博客-Dophi's Technology Blog-最新评论http://www.cppblog.com/dophi/CommentsRSS.aspx享受知识共享带来的愉快zh-cnSun, 15 Feb 2009 04:10:35 GMTSun, 15 Feb 2009 04:10:35 GMTcnblogsre: psp破解原理http://www.cppblog.com/dophi/archive/2009/02/15/73853.html#73888gm12367gm12367Sun, 15 Feb 2009 11:54:00 GMThttp://www.cppblog.com/dophi/archive/2009/02/15/73853.html#73888

gm12367 2009-02-15 19:54 发表评论

]]>re: 汇编，让你更拉风http://www.cppblog.com/dophi/archive/2009/01/23/71632.html#72498七星重剑七星重剑Fri, 23 Jan 2009 02:55:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/23/71632.html#72498好文章，我开始学习汇编

七星重剑 2009-01-23 10:55 发表评论

]]>re: 简单的反调试---使用IsDebuggerPresent API[未登录]http://www.cppblog.com/dophi/archive/2009/01/13/71639.html#71948ccccTue, 13 Jan 2009 13:27:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/13/71639.html#71948学习了，，，学习了，，，

cc 2009-01-13 21:27 发表评论

]]>re: 汇编，让你更拉风http://www.cppblog.com/dophi/archive/2009/01/12/71632.html#71766silvasagasilvasagaSun, 11 Jan 2009 16:07:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/12/71632.html#71766

silvasaga 2009-01-12 00:07 发表评论

]]>re: 汇编，让你更拉风http://www.cppblog.com/dophi/archive/2009/01/11/71632.html#71692Tony BaiTony BaiSat, 10 Jan 2009 17:16:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/11/71632.html#71692

Tony Bai 2009-01-11 01:16 发表评论

]]>re: 简单的反调试---使用IsDebuggerPresent APIhttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71662dophidophiSat, 10 Jan 2009 10:12:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71662http://blog.donews.com/zwell/archive/2004/10/16/134681.aspx

dophi 2009-01-10 18:12 发表评论

]]>re: 简单的反调试---使用IsDebuggerPresent APIhttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71660dophidophiSat, 10 Jan 2009 09:53:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71660由于我是凭记忆写的那段代码，现在看起来，的却写错了，实际上IsDebuggerPresent的汇编代码是这样的：
mov eax, dword ptr fs:[0x18]
mov eax, dword ptr [eax+0x30]
movzx eax, byte ptr [eax+0x02]

eax中保存的就是那个是否被调试的标志

实际上msdn中那样定义是一种兼容的做法，为了兼容不同系统版本的定义方式，如果没有记错的话，好像win98和win2000的偏移就不一样。而且你也能看出来msdn中给的结构体中的成员是一个很大的数组而已，根本看不出来有什么有意义的东西, 本来这个结构体就是没有公布出来的，不过微软的某位工程师把这个结构体公布出来过的，具体是怎么样的，我也不清楚了，反正是一个很长的结构体。

现在能确定的是，上面这段代码是正确的了，感谢kevin的纠错。

dophi 2009-01-10 17:53 发表评论

]]>re: 简单的反调试---使用IsDebuggerPresent APIhttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71647Kevin LynxKevin LynxSat, 10 Jan 2009 06:37:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71647struct TEB
{
...
struct PEB
{
....
??

MSDN:
typedef struct _TEB{
BYTE Reserved1[1952];
PVOID TlsSlots[64];
...

typedef struct _PEB{
BYTE Reserved1[2];
BYTE BeingDebugger; //是有个标志标示进程是否被调试
...
从你的文章来看，PEB应该在TEB偏移0x30H字节的地方，但是从MSDN的TEB结构定义来看，PEB位于Reserved1[1952]中的某个位置？

Kevin Lynx 2009-01-10 14:37 发表评论

]]>re: 简单的反调试---使用IsDebuggerPresent APIhttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71643小笨象小笨象Sat, 10 Jan 2009 05:18:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/10/71639.html#71643

小笨象 2009-01-10 13:18 发表评论

]]>re: 汇编，让你更拉风http://www.cppblog.com/dophi/archive/2009/01/10/71632.html#71636Kevin LynxKevin LynxSat, 10 Jan 2009 02:02:00 GMThttp://www.cppblog.com/dophi/archive/2009/01/10/71632.html#71636

Kevin Lynx 2009-01-10 10:02 发表评论

]]>