ハードウェアブレークポイントの検出 - @mayahu32のバイナリ観察日記バイナリ解析int3ブレークポイントの検出マルウェアの多くはデバッガによる解析を検出するためのルーチンを備えています。 その手法の一つとして、ブレークポイントを検出するというものがあります。 これは、デバッガが命令をint3に書き換えることでブレークポイントを実現していることに基づき、int3をチェックすることでデバッガによるブレークポイント設置を検出するというものです。 bool CheckInt3Breakpoint(void* pMemory, size_t SizeToCheck) { unsigned char *pTmp = (unsigned char*)pMemory; for (size_t i = 0; i if(pTmp[i] == 0xCC) return true; } return false; } 簡単ですが有効な手法です。 これに類した手法でブレークポイント
