汇编代码实现反调试模块

易语言 2020-09-27 14:08:05

汇编代码实现反调试模块

.判断循环首 (Found ≠ 0) ' 遍历所有进程
.判断开始 (取操作系统类别 () = 3)
ExeName = qjcwjm (Pn.th32ProcessID) ' 2000/xp要从模块那里才能正确取出执行的文件名
.默认
ExeName = 到小写 (到文本 (Pn.szExefile)) ' 98下直接取进程名就可以了,在模块那里没有的,所以反而取不出来,不过这个名字是一个路径,要转换一下
ExeName = 取文本右边 (ExeName, 取文本长度 (ExeName) - 倒找文本 (ExeName, “\”, , 真))
.判断结束
.判断开始 (_取自进程ID () = Pn.th32ProcessID) ' 自己的进程
ParentProc = Pn.th32ParentProcessID ' 得到父进程的进程ID
.判断 (到小写 (ExeName) = 到小写 (ExplName) 且 到小写 (qjclj (Pn.th32ProcessID)) = 到小写 (取特定目录 (9) + ExplName))
加入成员 (ExplProc, Pn.th32ProcessID)