Question

虽然前一节讨论的 HideDebugger 脚本有助于说明调试器的基本编程功能及“钩住”库函数的一些基础知识，但鉴于现有反调试技巧的庞大数量以及这些技巧的复杂程度，我们需要更加强大的防反调试功能，而这种功能却是简单的脚本所无法提供的。幸好 IDAStealth 插件可满足我们对于强大的调试器隐藏功能的需求。IDAStealth 由 Jan Newger 编写，是 Hex-Rays 2009 年度插件编写竞赛的冠军插件。该插件以 C++ 编写，并提供源代码和二进制两个版本。

表 25-1　IDAStealth 插件

名称	IDAStealth
作者	Jan Newger
发布	C++源代码与二进制版本
价格	免费
描述	Windows 调试器隐藏插件
信息	http://www.newgre.net/idastealth/

IDAStealth 的二进制组件由一个插件与一个帮助程序库组成，这两个插件都必须安装到<IDADIR>/plugins 目录中。激活后，IDAStealth 将显示如图 25-6 所示的配置对话框。

图 25-6　IDAStealth 配置对话框

你可以使用几个包含大量选项的选项卡来确定采用哪些防反调试技巧。激活后，IDAStealth 将开始规避几乎每一种已知的调试器检测技巧，包括那些在 Falliere 的文章中讨论的技巧以及由之前开发的 HideDebugger.idc 脚本解决的技巧。