peb 中有一个成员 ProcessHeap，这个成员是一个 指针： 进程 peb 地址可以用以下代码拿到：（拿 ProcessHeap 就再加上 ProcessHeap 在 _PEB 中的偏移） x64 中 ProcessHeap 在 PEB 的偏移是 0x30. x86 中 ProcessHeap 在 PEB 的偏移是 0x18.

// x64 ULONG64 ul_peb64 = __readgsqword(0x60); // x86 ULONG64 ul_peb86 = __readgsqword(0x30);

HeapFlags

对于 x64 系统，vista 以上版本的 HeapFlags 位于 *ProcessHeap+ 0x70，剩余低版本的 windows 中的 HeapFlags 位于 *ProcessHeap+ 0x14。

对于 x86 系统 vista 以上版本的 HeapFlags 位于 *ProcessHeap + 0x40，剩余低版本的 windows 中的 HeapFlags 位于 *ProcessHeap + 0x0c。

如果 HeapFlags 的值大于 2 说明程序处于调试状态 👌

代码示例（环境 - win10 x64）

ULONG64 ul_processHeap = (ULONG64)(__readgsqword(0x60) + 0x30); ULONG64 ul_heapFlags = (ULONG64)(*ul_processHeap + 0x70); if(*ul_heapFlags > 2){ cout << "发现调试器" << endl; } else{ cout << "没有调试器" << endl; }

HeapForceFlags

对于 x64 系统，vista 以上版本的 HeapForceFlags位于 *ProcessHeap+ 0x74，剩余低版本的 windows 中的 HeapForceFlags 位于 *ProcessHeap+ 0x18。

对于 x86 系统 vista 以上版本的 HeapForceFlags 位于 *ProcessHeap + 0x44，剩余低版本的 windows 中的 HeapForceFlags 位于 *ProcessHeap + 0x10。

如果 HeapForceFlags 的值大于 0 则说明处于调试状态。

代码示例（环境 - win10 x64）

ULONG64 ul_processHeap = (ULONG64)(__readgsqword(0x60) + 0x30); ULONG64 ul_heapForceFlags = (ULONG64)(*ul_processHeap + 0x74); if(*ul_heapForceFlags > 0){ cout << "发现调试器" << endl; } else{ cout << "没有调试器" << endl; }