8.8 异常处理机制反调试

通常可以通过在程序中设置异常处理函数，并在其中发起一个异常，然后判断程序是否已经被调试器附加来实现反调试。如果异常处理函数没有被触发，则说明程序已经被调试器附加；如果异常处理函数被触发，则说明程序没有被调试器附加。

安装异常处理函数并手动触发，此时如果被调试器附加，则会不走异常处理流程，此时IsDebug将会返回默认的False，并直接走_asm call pBuff;在调试器不忽略int3中断的情况下，调试将会被终止。

#include <Windows.h>
#include <stdio.h>

BOOL Exceptioni = FALSE;

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo)
{
    Exceptioni = TRUE;
    return EXCEPTION_CONTINUE_EXECUTION;
}

BOOL IsDebug()
{
    ULONG OldProtect = 0;
    LPTOP_LEVEL_EXCEPTION_FILTER lpsetun;
    
    // 安装自己实现的 ExceptionFilter 自定义异常处理函数
    lpsetun = SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)ExceptionFilter);
    LPVOID pBuff = VirtualAlloc(NULL, 0x1000, MEM_COMMIT, PAGE_READWRITE);
    
    *((PWORD)pBuff) = 0xc3;
    
    VirtualProtect(pBuff, 0x1000, PAGE_EXECUTE_READ | PAGE_GUARD, &OldProtect);

    _asm call pBuff;                       // 如果被调试,则执行中断,不会进行异常处理
    SetUnhandledExceptionFilter(lpsetun);  // 恢复异常处理
    return Exceptioni;
}

int main(int argc, char * argv[])
{
    if (!IsDebug())
    {
        printf("[-] 程序正在被调试 \n");
    }

    system("pause");
    return 0;
}