技術領域

本發明涉及用于監測進程狀態的反調試方法。

背景技術

下面的內容僅提供了與本發明相關的背景信息，但是并不構成現有 技術。

黑客行為是通過分析程序而開始的。僅當通過程序分析而理解邏輯 時，程序才可能會被實質上破解(Crack)。存在兩種分析程序的方法。 一種是靜態分析法，而另一種是動態分析法。

靜態分析法僅分析文件本身而不運行程序文件。靜態分析法通過使 用反匯編工具或反編譯工具來分析二進制程序文件。上述工具可將二進 制程序文件轉換成匯編語言或其它高級語言形式。可以通過對轉換后的 匯編語言等進行分析來理解程序的邏輯。

與靜態分析法不同，動態分析法運行程序并且通過觀察程序的在調 試工具處的運行代碼的流程、內存狀態和寄存器狀態來分析程序。由于 使用調試器的分析方法在觀察運行代碼的流程的同時分析程序，所以容 易理解程序的邏輯并且能夠確定執行正在運行的代碼的部分和不執行正 在運行的代碼的部分。另外，在分析期間，存儲在存儲器或寄存器中的 值可以發生變化。

通過使用調試的分析方法，能夠在程序的邏輯流程或運行期間實時 地改變數據。由于動態分析法的分析范圍比靜態分析法的分析范圍更大， 所以動態分析法得到了更廣泛地使用。

反調試(anti-debugging)是通過阻礙調試來防止分析的技術。如果 發生調試，則可通過使用諸如用于終止對應的調試程序的方法或用于產 生錯誤的方法等各種方法來防止分析。根據相關技術的反調試技術主要 確認調試程序是否運行并停止運行調試目標程序。然而，根據上述方法， 當出現諸如新調試程序等意料之外的情況時，難以對這樣的意料之外的 情況進行處理。另外，限于特定操作系統或處理器的反調試技術已經被 人們使用。例如，Windows操作系統使用這樣的方法：通過使用由 Windows提供的NtGlobeFlag值以及應用程序接口(API)的 IsDebuggerPresent()和CheckRemoteDebuggerPresent()來確定是否正在執 行調試。然而，由于Linux、Unix和OSX等不提供相同或相似的API， 所以無法使用上述方法。

發明內容

發明目的

本發明的主要目的在于提供一種用于監測進程狀態的反調試方法。

技術方案

根據本實施例的一個方面提供了用于通過使用反調試裝置執行反調 試的方法，所述方法包括：創建子進程；通過所述子進程對父進程的狀 態進行監測；以及通過所述父進程對所述子進程的狀態進行監測。

根據本實施例的另一個方面提供了一種反調試裝置，所述裝置包括： 父進程，其包括用于創建子進程的子進程創建單元和用于監測所述子進 程的狀態的子進程監測單元；以及子進程，其包括用于監測所述父進程 的狀態的父進程監測單元。

技術效果

如上所述，根據本發明實施例，所述父進程實時地監測所述子進程 的狀態且所述子進程實時地監測所述父進程的狀態。當所述父進程或所 述子進程被改變為調試狀態(即，被追蹤或被停止狀態)時，可以通過 立即強行終止所述父進程和所述子進程來防止程序在所述調試狀態下運 行。

另外，根據本發明實施例，可以保護程序免遭被廣泛用于破解游戲 等的存儲器欺騙(memorycheat)程序的攻擊。由于存儲器欺騙程序是在 攻擊目標程序的狀態被改變為被追蹤或被停止狀態之后執行的，所以根 據本發明實施例，檢查進程是否處于被追蹤狀態。如果確認所述進程處 于被追蹤狀態，則能夠通過終止所述進程來保護所述程序免遭存儲器欺 騙程序的攻擊。

附圖說明

根據下面的詳細說明并結合附圖，本發明的目的、特征和優點將更 加顯而易見，其中：

圖1是圖示了用于提供反調試的計算機的構造的框圖；

圖2是圖示了進程控制模塊的構造的示例性示圖；

圖3是圖示了進程的狀態轉換過程的示例性示圖；

圖4A是圖示了根據本發明實施例的用于通過父進程監測子進程的 方法的流程圖；

圖4B是圖示了根據本發明實施例的用于通過子進程監測父進程的 方法的流程圖；

圖5是圖示了父進程和子進程相互監測的狀態的示例性示圖；以及