10.2.3　符号检测

符号检测是一种具有针对性的检测,主要针对一些使用了驱动的调试器或者监视器,如SOFTICE、TRW、SYSDEBUGGER、FILEMON、PROCESSEXPLORER等。这些调试器在启动后会创建相应的驱动链接符号,以用于应用层与其驱动的通信。但是,因为其创建的符号一般情况下比较固定,所以符号检测就通过测试这些符号的名称来确定是否存在相应的调试软件。例如,我们经常在调试CreateFile时看到的类似“\\.\SoftICE”的符号名称,就表示正在检测调试器,示例代码如图10.36所示。

图10.36　符号检测示例代码