存档

文章标签 ‘NativeAPI’

调试与反调试(3)–CheckRemoteDebuggerPresent

2011年4月22日 6 条评论

CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明:

BOOL WINAPI CheckRemoteDebuggerPresent(
__in HANDLE hProcess,
__in_out PBOOL pbDebuggerPresent
);

第一个参数是进程句柄,第二参数用于[......]

继续阅读

ObReferenceObjectByName蓝屏问题

2011年1月1日 1 条评论

在拖了几天,调了快一天之后,问题终于在新年的第一天解决,庆贺一下O(∩_∩)O~
在“北极星2003”的CSDN博客上看到说用ObReferenceObjectByName来输出驱动程序的基本信息,结果我去测试的时候无情的蓝屏了。找了好久,终于发现了原因所在。因为博客上的代码是C++,而ObReferenceObjectByName是NativeAPI,所以需要做一个声明,C++用了extern “C”,而我的是C语言,用了ifdef宏定义,忘了加extern了,结果导致[......]

继续阅读