C++ 反调试（基于 SEH 的 SetUnhandledExceptionFilter） _Exception

恢弘志士之气，不宜妄自菲薄。这篇文章主要讲述C++ 反调试（基于 SEH 的 SetUnhandledExceptionFilter）相关的知识，希望能为你提供帮助。
终于！终于把静态反调试串了一遍，虽然没有包含全部但是也对反调试的轮廓有了初步的认识。

但是这一切才刚刚开始，翻过一座山（坑），还有另一座山（坑）在等着你 ?

刚发现 csdn 还有个发表情的功能，这就是传说中的彩蛋吗（以后有机会一定要发一个怎么发表情的教程）

参考代码：

#include "stdafx.h"

#include < iostream>
#include < tchar.h>
#include < Windows.h>
#include < stdio.h>
#include < exception>

#pragma
#pragma

#pragma
#pragma

#pragma

/*
异常记录结构体：
typedef struct _EXCEPTION_POINTERS
PEXCEPTION_RECORD ExceptionRecord; // 指向 EXCEPTION_RECORD 结构的指针（异常描述结构体）
PCONTEXTContextRecord; // 指向 CONTEXT 结构的指针（寄存器结构体）
EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;
*/
// 顶级异常筛选函数，不能把功能代码放在这个函数内（会死循环）,非调试模式下回运行这里的代码
LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept)

// 跳过下面两行代码：
// 8900MOV DWORD PTR DS:[EAX], EAX
// FFE0JMP EAX
pExcept-> ContextRecord-> Eip += 4;

// 忽略异常，否则程序会退出
return EXCEPTION_CONTINUE_EXECUTION;

#pragma

int _tmain(int argc, _TCHAR* argv[])

// 接管顶级异常处理程序
SetUnhandledExceptionFilter(ExceptionFilter);

// 防止在 OD 中点击运行后直接终止，留一个反应时间
MessageBox(NULL,L"如果程序正在调试，则即将触发断点...",L"MessageBoxW",NULL);

// 主动制造 "非法地址" 异常，防止程序被调试mov dword ptr [eax], eax
__asm
xor eax, eax
mov dword ptr [eax], eax
jmp eax

// 验证程序是否正常执行
MessageBox(NULL,L"只有没有被调试时才能看到我",L"MessageBoxW",NULL);

getchar();
return 0;

大致功能如下：正常运行程序，弹出 “只有没有被调试时才能看到我” 对话框（也就说明程序执行到了这里）

使用 VS 调试程序，报出异常，调试中断

使用原版OD 打开程序，点击运行后程序会卡在我们构造的异常里无法继续执行

【C++ 反调试（基于 SEH 的 SetUnhandledExceptionFilter）】