ZwSetInformationThread（反调试）

最新推荐文章于 2026-04-15 19:16:02 发布

转载最新推荐文章于 2026-04-15 19:16:02 发布 · 1.9k 阅读

4 ·

本内容遵循CC 4.0 BY-SA版权协议

原文链接：https://bbs.pediy.com/thread-249572.htm

收录于

二进制专栏收录该内容

14 篇文章

订阅专栏

本文介绍了ZwSetInformationThread函数在Windows系统中用于隐藏线程调试的方法，通过设置ThreadHideFromDebugger标志来阻止调试事件的产生。破解方法是检查并修改函数调用参数，防止线程被隐藏。此技术涉及到逆向工程和系统调试领域的知识。

文章目录

0x01 ZwSetInformationThread () 介绍

0x01 ZwSetInformationThread () 介绍

ZwSetInformationThread 等同于 NtSetInformationThread，通过为线程设置 ThreadHideFromDebugger，可以禁止线程产生调试事件。函数原型如下：

VOID DisableDebugEvent(VOID)
{
    HINSTANCE hModule;
    ZW_SET_INFORMATION_THREAD ZwSetInformationThread;
    hModule = GetModuleHandleA("Ntdll");
    ZwSetInformationThread = (ZW_SET_INFORMATION_THREAD)GetProcAddress(hModule, "ZwSetInformationThread");
    ZwSetInformationThread(GetCurrentThread(), ThreadHideFromDebugger, 0, 0);
}

破解方法：注意到该处 ZwSetInformationThread 函数的第 2 个参数为 ThreadHideFromDebugger，其值为 0x11。调试执行到该函数时，若发现第 2 个参数值为 0x11，跳过或者将 0x11 修改为其他值即可

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lllle00

关注关注

2
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

易语言调试器脱离

07-21

易语言调试器脱离源码,调试器脱离,获取函数地址,调试器脱钩,ZwSetInformationThread,API_GetModuleHandle,API_GetCurrentThread,API_GetProcAddress

参与评论您还未登录，请先登录后发表或查看评论

易语言API调试测试

07-22

易语言API调试测试源码,API调试测试,debug,WaitForDebugEvent,ContinueDebugEvent,VirtualProtectEx,CloseHandle,CreateProcessA,GetStartupInfoA,ResumeThread,TerminateProcess,GetThreadContext,SetThreadContext,WriteProcessMemory,GetLastError,Suspend

反调试技术（一）--静态反调试

weixin_30871293的博客

03-13

346

为了保护自己的程序不被破译等，很多软件使用了反调试技术来阻止逆向程序员对自己程序进行爆破，这同时也催生了另一种技术--反调试破解技术的出现。反调试技术分为静态反调试技术和动态反调试技术。相比来说静态反调试技术更容易实现，破解一般也只需要一次，我们这次就先谈一下静态反调试技术，以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。（以下以32位为例） +0x0...

C++ 反调试（ZwSetInformationThread）

LYSM

09-18

3058

这个 API 的功能是：如果程序正在被调试，则强制将自己从调试器里分离出来。代码： #include "stdafx.h" #include <iostream> #include <tchar.h> #include <Windows.h> #include <stdio.h> #pragma region 全局变量 /* ZwSet...

从Pipeline到实战：一份面向Camera Tuning工程师的ISP核心知识图谱

最新发布

weixin_33735077的博客

04-15

100

本文深入解析了Camera Tuning工程师必备的ISP核心知识图谱，涵盖高通6系/7系Pipeline架构差异、关键模块调试技巧及图像质量评估体系。通过实战案例展示ABF、HNR等模块的调优方法，帮助工程师掌握从理论到实践的完整技能链，特别适合准备Camera Tuning相关面试的技术人员。

Windows下反（反）调试技术汇总

03-03

2315

反调试技术，恶意代码用它识别是否被调试，或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作，因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析，当恶意代码意识到自己被调试时，它们可能改变正常的执行路径或者修改自身程序让自己崩溃，从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术，同时也会介绍一些逃避反调试的技巧。一.探测Windows调试器恶意代码会使用多种技术探测调试器调试它的痕迹，其中包括使用Windo

反调试技术总结(看雪)

eli的博客

12-07

4239

大概是在一年半以前我在自己CSDN博客上写了详解反虚拟机技术和详解反调试技术，没想到看的人还很多，有人甚至给我发私信发邮件，在百度和谷歌搜索“反调试”和“反虚拟机”，第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作，没有一条技术和一行代码是我原创的，参考链接会附在最后。 反调试技术，恶意代码用它识别是否被调试，或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作，因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..

反调试 zwsetinformationthread

无本之木

07-09

4271

结构： typedef enum _THREADINFOCLASS { ThreadBasicInformation, // 0 Y N ThreadTimes, // 1 Y N ThreadPriority, // 2 N Y ThreadBasePriority, // 3 N Y ThreadAffinityMask, // 4 N Y ThreadImpersonation

反调试技术

nareku的博客

06-21

1644

思来想去还是先写反反调试，壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视，加大代码的复杂度和分析等以下只是遇到的一些反调试，其中有一些知识都没有学习到，不过慢慢来也慢慢补坑。

静态反调试技术（3）

寻梦&之璐

01-26

3059

ZwSetInformationThread 强制分离（Detach）被调试者和调试器的技术。利用ZwSetInformationThread（）API，被调试者可将自身从调试器中分离出来 typedef enum _THREAD_INFORMATION_CLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, Thread

51.网游逆向分析与插件开发-游戏反调试功能的实现-设置主线程为隐藏调试破坏调试通道

计算机王的博客

12-25

1770

网络游戏逆向、网络游戏安全、网络游戏攻防、c++

180307 逆向-反调试技术（2）CheckRemoteDebuggerPresent

whklhhhh的博客

03-23

1717

1625-5 王子昂总结《2018年3月7日》【连续第522天总结】 A. 反调试技术（2） B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数，测试发现及时修改Be...

逆向学习笔记（3）——静态反调试技术

谈成(C/C++)

04-12

643

1.PEB结构 +0x002 BeingDebugged : UChar +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B ... 1）BeingDebugged(+0x002) 当进程处于调试状态时，该标识为1，反之为0。对应的API是IsDebuggerPresent()，用于获取当前进程的调试状态

2020.8.14----学习记录

菜鸡的博客

08-14

313

学习记录好些天没更新学习记录了，今天才想起这个事情，一看时间距离上一次记录都过了半个月，看来时间真的过得很快2333 这段时间因为各种原因或者借口把学习记录????了，orz 这里记录一下最近看的反调试 关于peb中的BeingDebugged 1. IsDebuggerPresent 该函数是Win32 API所提供的一个检测程序是否位于调试状态的函数，也是最为常见的一个反调试函数，其实现代码如下 BOOL myIsDebuggerPresent(VOID) { DWORD flag; _asm

软件反调试（7）- 基于NtSetInformationThread设置线程信息

胡焦24的技术博客

08-01

1087

由于一些业务线程的启动时间是不确定的，实现上可以使用循环设置，每次循环都将进程中的所有线程全部设置一遍，对单个线程多次重复设置是不会有任何影响的。完整实现代码如下，在 vs2022 中调试运行的时候，对代码下的断点是无效的，部分情况下会导致 vs2022 在调试的时候卡死。该函数仅对设置的线程生效，但对其他未设置的线程无效，其他线程依旧可被调试，如果需要隐藏所有的线程，需要对每个线程都进行设置。创建一个 inject.dll 工程，工程依赖 MinHook 库，包含两个代码文件，

C++ 反调试（NtSetInformationThread）

LYSM

11-20

3863

先上代码： // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <afx.h> #include <tchar.h> #include <afxwin.h> #include <Windows.h> #include <vector> #inclu...

反调试技术揭秘（转）

weixin_33935505的博客

03-04

640

在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术，首先我们来看看反调试技术。一、Windows API方法 Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...