10.2.9　行为占用

行为占用是指在需要保护的程序中,程序自身将一些只能同时有一个实例的功能占为己用。例如,一般情况下,一个进程只能同时被一个调试器调试,那么保护系统就可以设计这样一种模式:以调试方式启动被保护的程序,然后利用系统的调试机制使被保护的程序运行或者进行其他加密与解密操作,这样,由于保护系统占用了程序的调试接口,就无法同时使用其他调试器调试被保护的程序了。这种方式对于反调试来说,如果利用得好,会有非常好的效果。它不仅阻碍了其他调试器启动和调试被保护的程序,还阻碍了调试器以附加调试的方式附加到进程上进行调试。这种技术在以前有不少保护系统使用,一般称为双进程保护。