RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用rdtsc汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入EDX:EAX寄存器中,通过运行两次rdstc指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。
可以利用时钟检测技术来检测程序是否被调试器附加,其实现基本思路如下:
- 获取当前时间戳 T1,即通过执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
- 执行一段代码,例如随机生成一个数字或者MessageBox等,使得程序中断一些时间,防止被调试器单步跟踪。
- 获取当前时间戳 T2,即通过再次执行 rdtsc 指令获取当前 CPU 时钟计数器的值。
- 计算时间戳之差,即 T2-T1,如果该差值较小,则表明程序正在被调试器跟踪。
#include <Windows.h>
#include <stdio.h>BOOL IsDebug()
{int Debug = 0;__asm{rdtsc // 调用时钟xor ecx, ecxadd ecx, eax // 将eax与ecx相加rdtsc // 再次调用时钟sub eax, ecx // 两次结果做差值mov Debug, eax}printf("打印差值: %d \n", Debug);if (Debug >= 21){return TRUE;}return FALSE;
}int main(int argc, char * argv[])
{if (IsDebug()){printf("[-] 进程正在被调试 \n");}system("pause");return 0;
}
