[Anti-Reversing] IsDebuggerPresent() 구현

Visual studio의 inline assembly를 사용해 구현.

bool isDebuggerPresent(){
    bool returnValue = false;
    
    __asm{
    	push eax
        mov eax, fs:[0x30] //eax = &PEB
        mov eax, [eax+0x02] //eax = *(&(eax+0x02))
        mov dword ptr [returnValue], eax
        pop eax
    }
    
    return returnValue;
}

IsDebuggerPresent() 함수의 작동 원리는 간단하다.
해당 함수는 PEB 구조체의 두 번째 멤버인 BeingDebugged 값을 읽어오고, 이 값으로 디버깅 여부를 알 수가 있다.
BeingDebugged != 0 이라면 디버깅 중, BeingDebugged == 0 이라면 디버깅 중이 아닌 것이다.

무튼, 유저모드에서 fs 세그먼트 레지스터는 TEB(Thread Environment Block)을 가리킨다. (Thread Information Block인 TIB와 유사한 정보를 담고 있지만, TIB는 Windows 9x세대 이하에서 쓰였다고 함, TIB for non-Windows NT version.) 그리고 TEB의 0x30 오프셋에는 PEB(Process Environment Block)의 선형 주소가 들어있다. fs:[0x30]으로 PEB에 접근할 수 있으며, 그로부터 0x02만큼 떨어진 곳에 BeingDebugged 멤버가 있으므로 이 오프셋에 접근해 값만 잘 받아온다면 어렵지 않게 함수를 구현할 수 있다.