今天看到了一种Anti Turbo Debugger的方法,大体如下:
因为Turbo Debugger调试开始的时候,会把寄存器都设置为0,但是DOS系统默认的状态为: CX= 00FF h ,BP= 091C h
所以,如果在代码开始的时候插入:
xor cx, bp
... some code not affecting cx
cmp cx, 93Eh
jne TD_is_here
... no debuger here
就可以检测到Turbo Debugger
请问这种方法在现在的系统有没有应用?或者类似的东西有没有见到过阿?
多谢各位高手.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
