众所周知在AMD64环境上，32的程序，我们可以使用CS段切换至x64环境，可以执行x64指令 0x33段选择器（天门） – 恶意软件技术 (malwaretech.com)

当然切换环境后，也是能在调试器里正常工作的，如果手动中断在环境里，调试器引擎可能需要支持x64指令，否则无法正常工作

那么我们正常运行，应该怎么样才能被检测呢, 这就要说个特殊的指令，int3  int 3 (KiBreakpointTrap)

为什么说是特殊呢，因为配合切cs可以达到出其不意的效果

在正常环境下 切cs后使用int3，会得到一个STATUS_BREAKPOINT异常，如果没有注册异常接管，会崩溃。

如果在不支持(x64引擎)的调试器里运行，则什么都不会发生，但STATUS_BREAKPOINT异常依旧会有，内核会分发这个异常 但调试器好像不会接收到这个异常，程序正常工作

至于为什么会发生这个情况 一个是调试器汇编引擎的问题，（可能）以及int3的特性 ContextFrame.Rip -= 1; ，两个集中一起就会发生这种情况

当然像ICEBP UD2等指令不会发生这种情况

调试环境下 int3不会触发你注册的异常，但是内核异常正常分发，只是你r3接收不到这个异常而已
正常环境 就正常int3异常

你可以看int3内核的异常分发 我文章最后说了是什么问题引发的这种情况

正常本身就不能执行，因为会触发INT3异常，你必须注册异常处理，接管这个异常就行了