特征码检测枚举当前所有正在进行的进程,并在进程的内存空间中搜索特定调试器的代码片段。定位OllyDbg调试器的特征代码,如图10.38所示。
图10.38 特征码检测(a)
选取一段具有明显的OllyDbg特征码的数据,示例如下,构建如图10.39所示的检测代码。
图10.39 特征码检测(b)
