代码之家  ›  专栏  ›  技术社区  ›  Jämes

在内核区域中检测进程是否正在调试

driver kernel debugging windows
  •  0
  • Jämes  · 技术社区  · 5 年前

    有没有一种方法可以检测(在内核模式下)调试器(在用户模式下)附加到Windows上的另一个进程(也在用户模式下)?

    EPROCESS 一个结构来显示这些信息。理想情况下,我正在寻找一个不能在用户模式下从程序中更改的标志,尽管如此,我不知道这些信息是否也保留在内核级别。

    0 回复  |  直到 5 年前
        1
  •  1
  •   RbMm    5 年前

    存在(来自xp)未记录的api 

    extern "C"
NTKERNELAPI
BOOLEAN
PsIsProcessBeingDebugged(PEPROCESS Process);

    哪一个 return Process->DebugPort != NULL 非常简单可靠的api,可用于任何irql(因为进程对象在非分页内存中)。

    • 图书馆: NtosKrnl.lib
    • 任何级别
    推荐文章
    MineRickStar  ·  如何在Java中从Windows获取当前选定的应用程序
    5 月前
    dalvol.amsi  ·  无法在Windows上使用g++使用SFML编译*.cpp文件
    6 月前
    Parduz  ·  Powershell Get ChildItem:如何获取具有给定BaseName的所有内容,包括文件和文件夹?
    6 月前
    Dan  ·  安装后如何获取Powershell Gallery软件包中的函数列表?
    6 月前
    TheFuture1sNow  ·  ShowWindow()无法最大化窗口的原因是什么?
    7 月前
    WonkyWombat38  ·  如何防止我的Python脚本在Windows上运行后立即关闭?
    7 月前
    Flash_Steel  ·  是否有任何方法可以让VBA在不使用CMD的情况下从Windows用户帐户获取当前用户的全名?
    7 月前
    eden sson  ·  使用std::thread和native_handle()设置线程关联掩码
    11 月前
    some guy who likes C  ·  如何检查可执行文件是否在C[复制]中运行
    11 月前
    PHPLover  ·  “支持PHP扩展或功能的端口”实际上是什么意思?
    11 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号