株式会社Ninjastars セキュリティエンジニア:一瀬健二郎 今回はWindowsでのアンチデバッグとして入門的な手法であるint3によるデバッガ検出についてお話しさせていただきます。 実際に本質的な部分だけ取り出した原始的なデバッガを作成し、何故int3でデバッガを検出できるのか解説いたします。 アンチデバッグとしての実効性はほぼありませんが、デバッガの原理の理解の手助けとなれば幸いです。 int3アンチデバッグを理解しよう! 環境 Windows10 Visual Studio C++開発環境 今回やること int3アンチデバッグを実装したプログラムを簡易デバッガでアタッチして何故検出されるのか考えます。 導入 まずint3.cppとdebugger.cppをVisualStudioでビルドしてください。 プログラムの説明 int3.exe 1.起動すると自身のプロセスIDを出力。