[讨论]这样检测硬件断点行得通吗？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]这样检测硬件断点行得通吗？

发表于: 2012-5-6 12:48 5005

[讨论]这样检测硬件断点行得通吗？

zallen

2012-5-6 12:48

5005

目前见到的很多对抗硬件断点检测的方式，有：
1， hook GetContextThread，直接清零返回
2，在异常分发函数里面，简单粗暴的设置dr 为0

那如果这样呢：
调用 SetContextThread dr=xx xx可以使一个任意不为0的合适数值
然后调用 GetContextThrea 判断 dr是否为xx，即使获得的dr为0，也说明被人动了手脚。以上2种对抗硬件检测的方法不就都无效了吗？

求达人解释下

[注意]APP应用上架合规检测服务，协助应用顺利上架！

收藏・1

免费・0

支持

最新回复 (1)
loqich 雪币： 952 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2 楼有些壳这样检测, 不过在驱动层还是能动手脚, 在SetContextThread 的hook里异常处理之后记录原始值然后在调用GetContextThread之前异常分发之前, 把原始值写进去, 就检测不到了 2012-5-6 13:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zallen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

// // 统计代码

最新回复 (1)
loqich 雪币： 952 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2 楼有些壳这样检测, 不过在驱动层还是能动手脚, 在SetContextThread 的hook里异常处理之后记录原始值然后在调用GetContextThread之前异常分发之前, 把原始值写进去, 就检测不到了 2012-5-6 13:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复