Кратко

Небольшой классификатор антиотладочных приемов в WindowsNT-подобных операционных системах. Антиотладочный прием – это способ для программы обнаружить, что она выполняется под управлением отладчика. Они часто встречаются во многих протекторах, пакерах и вредоносном программном обеспечении (малвари - malware), замедляя или предотвращая процесс реверс-инжениринга. Информации по этим приемам в сети предостаточно, я лишь собрал некоторые из них - по одной причине - в crackme они тоже встречаются. Мы условимся, что наш crackme анализируется под ring3-отладчиком (например, OllyDbg или встроенный отладчик IDA) на платформе Windows.

Я не буду оригинальным, выбрав отправной точкой – данную статью:
АНТИОТЛАДОЧНЫЕ ТРЮКИ

Содержание

1. Поля структуры PEB (Process Environment Block)
   • PEB.BeingDebugged и IsDebuggerPresent()
   • PEB.NtGlobalFlag
2. Трюки с форматом файла (PE-заголовок)
   • массив Data Directories
3. Аппаратные трюки
   • прерывание 2D
   • время выполнения
4. Специальные API
   • OpenProcess
   • CheckRemoteDebuggerPresent
   • NtQueryInformationProcess
   • CloseHandle
5. Антидамп
   • Изменение размера образа - SizeOfImage