システムでカーネルデバッガがアクティブになっているかどうかをチェックする古典的な手法として、カーネルデバッガのデバイスドライバへのアクセスを試みるものがあります。このテクニックはとてもシンプルで、SoftICEのようなカーネルモードデバッガによって使用される、著名なデバイス名に対してkernel32!CreateFile()を単に呼び出すだけです。
例
以下は、デバイスを検出する簡単なチェックのサンプルコードです:
SoftICEのバージョンによってはデバイス名に番号が追加されており、上記のチェックは常に失敗します。リバースエンジニアリングのフォーラムでは、正しいデバイス名が見つかるまで追加の番号をブルートフォースし続ける手法が回避策として挙げられていました。パッカーによってはRegmonやFilemonのようなシステムモニターを検出するためにこれらのデバイスドライバ検出を使用しています。