反调试技术总结

所涉及到的反调试方法代码在这里

反调试不外乎从进程检测、调试器检测、断点检测、制造异常等几方面入手，具体有以下方法：

1. API检测，直接调用IsDebuggerPresent、CheckRemoteDebuggerPresent

2. 调试端口debugport检测

3. 检测父进程，包括Process32NextW和ZwQueryInformationProcess

4. 执行产生内存页异常

5. 堆尾检测

6. int 3异常

7. PEB调试标志位检测

8. PEB ForceFlags检测

9. PEB HeapFlags检测

10. PEB NtGlobalFlags检测

11. 利用标志寄存器产生单步异常

12. SeDebugPrivilege检查权限

13. 利用NtSetInformationThread，调试时有断点的话会崩溃

14. 检查程序内存校验和

15. 时间检测