来自群友：芯的投稿。

实验环境

• Windows 11 22H2 x64
  
• Visual Studio 2022 （安装了C++桌面开发组件）
  
• WinDbg Preview
  
• 备注：这个是笔者的实验环境，实际对于Windows Vista 以上的操作系统都基本适用（对系统有更高要求的会另行说明）
• 本教程源代码下载地址 ：

github.com/ProgrammerCenter/Simple_Guide_Of_Windows_AntiDebug_In_User_Mode

方式1：PEB检测

Windows 下记录有两个记录进程信息和线程信息的结构 TEB/PEB
这两个结构很复杂，我们只关注PEB的BeingDebugged的标志
检测很简单，微软提供了一个API，叫IsDebuggerPresent
照着文档用就行
下面是一个简单的测试：

这里笔者使用了Windbg和Visual Studio内置的调试器，都可以正常识别
其实Windows在PEB的BeingDebugged标志为TRUE之后，还有别的操作，鉴于笔者没有具体研究过这些变化，故这里不再深入（有时间可以单独补一篇）

方式2：线程隐藏调试

从Windows 2000开始，微软在一个内部函数上提供了这个功能
其效果是：对指定设置了隐藏调试的线程，打断点，断点不断，且程序会退出
原理是：Windows对设置了线程隐藏调试的线程，出现异常不会通知调试器，又因为异常没有处理，会直接终止进程
（说明：软硬件断点触发的方式都是引发异常，尤其软件断点，是写入int 3指令，其执行时会抛出一个0x00000003的异常）
使用方法：调用NtSetInformationThread，其调用语句是：NtSetInformationThread(线程句柄,0x11,0,0);
由于微软官方文档没有讲到这种用法，我这里不贴官方文档了，具体可自行百度
下面是演示：

方法3：（核弹级别）Hook DbgUiRemoteBreakin （让调试器一附加就退出的流泪神器）

为啥有这么一招，这还要说说Windows调试器是如何在附加时让被调试器断下来的
原理太简单了：创建一个远程线程，执行DbgUiRemoteBreakin，DbgUiRemoteBreakin内部触发int 3断点，这是Windows必做操作
所以，直接Hook它，然后ExitProcess，这不就一附加就退了
不过各位观众老爷可能需要一点汇编基础（不会也没关系）大家可以搜索Windows32/64位inline hook获取相关资料
这里贴一个网址inline hook
知道这里，其实就是覆盖Windows的原代码，跳转到我们的函数，直接ExitProcess即可（不需要回去）
下面是演示：

方法4：自调试

Windows只允许一个被调试进程被一个调试进程调试，利用这一点，直接自己调试自己不香（注意不能直接自己调试自己，会用到双进程）
放一下微软的调试API，我们便是使用它
Mircosoft Debug API for Windows
资料有了，直接上演示：