[C++]使用FS寄存器判断进程是否被调试

昨天研究了一下IsDebuggerPresent这个函数的实现代码，发现真的很简单，只有区区4行：

mov eax, dword ptr fs:[018H]mov eax, dword ptr [eax + 030H]movzx eax, dword ptr [eax + 02H]ret

参考了一些大牛的文章，原来第一行是获取TEB的地址，第二行是获取PEB地址，第三行是获得BeingDebugged标记的值，BeingDebugged值为1则进程被调试，值为0则进程没有被调试器附加，于是我写了以下的代码，可以实现和IsDebuggerPresent相同的检测功能：

while (1){DWORD dwFS = 0;dwFS = __readfsdword(0x18);dwFS = *(DWORD *)(dwFS + 0x30);dwFS = *(DWORD *)(dwFS + 0x02) & 0x000000FF;printf("%08X\n", dwFS);__asm{mov eax, dword ptr fs:[018H]mov eax, dword ptr [eax + 030H]movzx eax, dword ptr [eax + 02H]mov dwFS, eax}printf("%08X\n", dwFS);system("Pause");}

使用__readfsdword函数前请#include <intrin.h>

参考了这篇文章，感谢文章作者：http://cxc200026.blog.163.com/blog/static/3426867200841764521515/