反调试新思路：利用内存工作集检测非法访问

17176qq

实现原理：创建一个特定的“陷阱”内存页，然后将其从进程的**工作集（Working Set）**中清除。

创建陷阱内存：
程序使用 VirtualAlloc 分配一块 4096 字节的内存区域作为“陷阱”。

清除工作集：
调用 EmptyWorkingSet，将所有内存页从物理内存中移除。此时，陷阱内存页的 Valid 标志位变为 0。

循环检测：
程序使用 QueryWorkingSetEx 持续监控陷阱内存页的状态。通过位运算（位与 (PWINFO.PSAPI_WORKING_SET_EX_BLOCK, 1)）来检查 Valid 标志。

检测非法访问：
一旦有调试器或 Hook 程序尝试访问这块内存，Windows 会触发缺页中断，并将该页面重新加载到物理内存。这时，Valid 标志就会从 0 变为 1。

触发警报：
程序检测到 Valid 标志变为 1 后，会立即弹窗并结束程序，从而实现反调试。

游客，如果您要查看本帖隐藏内容请回复

补充(懒得手打解释了 让AI写的解释)：以现有代码为载体的反调试思路
这个反调试技巧不仅可以用于专门分配的“陷阱”内存，更可以巧妙地应用在你程序中常用的、但非实时运行的函数上。

如何实现

• 选择目标函数：选择一个在程序运行时不经常被调用，但又不能被删除的函数。例如，一个用于初始化配置、只在程序启动时运行一次的函数，或者是一个用于日志记录、但目前处于关闭状态的函数。
  
• 设置陷阱：在程序正常运行期间，当你不需要调用这个函数时，你可以将这个函数的代码页从进程的工作集中移除（使用 EmptyWorkingSet）。
  
• 循环监控：你的监控线程会像之前一样，持续检查这个函数代码页的 Valid 标志。
  
• 按需使用：当你的程序需要真正执行这个函数时，你只需调用它。此时，操作系统会再次触发缺页中断，将代码页重新加载到物理内存中，Valid 标志会变为 1。在函数执行完毕后，你再将它从工作集中移除，继续监控。
  
• 反调试效果：如果一个调试器或Hook程序试图在你的程序不调用这个函数时，去查看或修改这个函数所在的内存区域，就会提前触发缺页中断。你的监控线程会立即捕捉到 Valid 标志的异常变化，并采取相应的反调试措施。
  
  

17176qq

绕过方式也很简单，第三方访问前先检查Valid 标志（QueryWorkingSetEx ） 如果是0就不进行访问。
攻防无绝对，反调试配合起来使用效果才能达到最佳。可扩展性还是很强的，只是提供一个思路和简单的例子，给大家学习参考一起研究。
有些小丑连原理都没研究明白就过来指责，怪不得论坛没人分享什么有用的东西了。

851375257

6666666666666

please

感谢分享，支持开源！！！

kyo9766

可以学习一下原理，感谢分享

playjy

影子需要光

看雪上是不是已经发过了

ll2001

没啥用这个

查过

感谢楼主分享！

豆豆灰常开心

感谢分享，很给力！~

hhf4977

谢谢分享