IsDebuggerPresent, 우회 방법 안티리버싱 IsDebuggerPresent [IsDebuggerPresent]IsDebuggerPresent 내부를 들여다 보자꾸나.mov eax, dword ptr fs:[18h] //TEB.self를 eax에 (TEB주소 그대로 eax로)mov eax, dword ptr [eax+30h] //TEB.PEB를 eax에 (PEB 주소를 eax에)movzx eax, byte ptr [eax+2] //PEB.BeingDebugged (디버깅 중이라면 1, 아니라면 0)ret 요약 : PEB.BeingDebugged 값을 eax에 담고 리턴. [TEB]fs:[18h] == 현재 스레드 TEB 주소.[eax+30h] == TEB에서 PEB주소 획득. [PEB][eax+2] == PEB의 BeingDebugged.. 이전 1 2 다음