我目前正在尝试创建一个反反调试软件,以更好地分析我在一款流行游戏中发现的安全漏洞。当然,与任何其他游戏一样,它具有强大的反反作弊措施。
作为我研究的一部分,我研究了许多反调试技术,这些技术基本上是对进程内存(或进程内存中的 PEB)进行的小检查。这些更改(例如 PEB 中的“isBeingDebugged”标志或堆标志)发生在可执行文件中,然后再附加调试器。
我的问题是:谁执行此更改?调试器?被调试者本身?内核?第三个过程?
如果我能确定谁执行了这些更改,我也许可以阻止它们发生,然后我就不需要修补进程的内存,这样它们就不会被检测到。
附: 是的,我得到了所有者的许可。 是的,我这样做是合法的。 是的,我是一名安全研究员。 不,我不需要讲座。
谢谢!
PS2:我已经尝试针对不同的反调试技术进行修补,但到目前为止,当我附加调试器时我会触发保护。