Intereting Posts

如何使用java代码打开Windows文件浏览器并突出显示指定的文件？我如何使wgnuplot.exe终止在.plt文件的末尾？ htaccess重写规则获取“没有名为django_messages的模块” 如何在几个程序中接收相同的udpstream？ CMake / CPack：不同平台的首选包生成器托pipe多个Django站点的问题（交叉设置）使用Azure命令行工具为Linux创build虚拟机在Windows 8上无法使用PHP邮件function发送电子邮件为什么在pipe道末端使用时无法读取variables？如果对象的类types是A :: B，那么如何使用GDB从地址打印c ++对象成员 ARM如何在IRQ处理程序中切换到svc模式？ TCP校验和计算与wireshark计算不匹配 CodeIgniter的htaccess子文件夹问题如何获得挂钩winapi函数的通话后参数？

禁用EXCEPTION_DEBUG_EVENT传递给附加的debugging器

我正在处理一个反debugging应用程序，禁止EXCEPTION_DEBUG_EVENT传递给我的debugging器，而是执行它的SEH和UnhandledExceptionFilters。

我用3个不同的debugging器（甚至自制的）
我的debugging器接收其他debugging事件，如LOAD_DLL，CREATE_THREAD等
当第一次机会debugging和最后一次机会时，exception不会通过
我自己创build的线程的断点事件传递给debugging器，所以反debugging方法必须是线程特定的，可能是对ThreadInformationBlock
没有内核模式访问

那么怎么才能在usermode中传递EXCEPTION_DEBUG_EVENT（只有一个线程，不影响整个进程）呢？

那么..解决方案很简单：

呼叫

NtSetInformationThread( IN HANDLE ThreadHandle, IN THREAD_INFORMATION_CLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength );

使用ThreadHideFromDebugger ( 0x11 )作为ThreadInformationClass 。