[原创]抛砖引玉—硬件断点的检测和反检测-编程技术-看雪-安全社区|安全招聘|kanxue.com

114

[原创]抛砖引玉—硬件断点的检测和反检测

发表于: 2013-11-22 00:04 40352

[原创]抛砖引玉—硬件断点的检测和反检测

organic

2013-11-22 00:04

40352

硬件断点的检测和反检测

1、硬件断点设置的方法
   有矛必有盾，有盾必有矛，说硬件断点的检测和反检测之前我们先来谈谈硬件断点设置的常规方法
方法1：
   采用SetThreadContext直接设置指定线程的调试寄存器，由于这种方法简单实用，深受广大人民群众喜爱，具体怎么搞，附件代码中的SetHwBreakPoint函数有详细的code。
方法2：
   采用SEH或者VEH等异常处理技术设置硬件断点，原理是自己搞个SEH或者VEH，然后自己触发一个异常（比如除0），跳到自己的异常处理函数中，这里只说SEH的异常处理函数结构：SEHHandler proc C _pstExceptionRecord:DWORD, _pstSEH:DWORD, _pstContext:DWORD, _pDispatcherContext:DWORD。第3个参数_pstContext就是异常线程的所有调试器结构指针，聪明的朋友肯定就知道该怎么搞了。不清楚的朋友可以去看看SEH实现的过程。

2、硬件断点的检测方法
方法1的检测方法：
GetThreadContext就是SetThreadContext的盾，把调试寄存器取过来送纪委检查检查就知道有没有人在干坏事了。
方法2的检测方法：
   其实同样是用方法2设置硬件断点的手段，只不过在SEH的异常处理函数中用_pstContext取调试寄存器送纪委就是了，当然用SEH只能检测当前线程的，要检测整个程序的还是用VEH好，方法类似。我附件里的SEHCheckHardPoint和SEHHandler就是一个简单的例子。

;名称：SEHCheckHardPoint 
;功能：构建一个SEH，检测硬件断点
;参数：无
;返回：无
SEHCheckHardPoint proc
 
    assume  fs:nothing
    push    offset SEHTest_Ret                      ;压入安全代码的地址
    push    ebp                                     ;保存ebp
    push    SEHHandler                              ;压入SEH回调函数
    push    fs:[0]                                  ;保存原SEH
    mov     fs:[0], esp                             ;设置当前SEH
     
    xor     eax, eax
    mov     DWORD ptr [eax], 1                      ;人为的产生一个异常  
     
    SEHTest_Ret:
    pop     fs:[0]                                  ;恢复原SEH
    add     esp, 12                                 ;平衡堆栈
     
    ret
SEHCheckHardPoint endp
 
 
;名称：SEHHandler
;功能：SEH的异常处理函数，为cdecl调用
;参数：_pstExceptionRecord = 异常信息结构指针
;参数：_pstSEH = SEH结构指针
;参数：_pstContext = 发生异常线程的寄存器结构指针
;参数：_pDispatcherContext
;返回：无
SEHHandler proc C _pstExceptionRecord:DWORD, _pstSEH:DWORD, _pstContext:DWORD, _pDispatcherContext:DWORD
     
    pushad
     
    mov     ebx, _pstSEH
    mov     eax, [ebx + 8]
    mov     esi, _pstContext
    assume  esi:ptr CONTEXT
    mov     [esi].regEbp, eax                       ;恢复ebp
    mov     eax, [ebx + 12]
    mov     [esi].regEip, eax
     
    invoke  VK_PrintfMsg, CTXT("Dr0 = 0x%X"), [esi].iDr0    ;显示Dr0的值，如果不是0，说明被设硬件断点了
    assume  esi:nothing
    popad
     
    mov     eax, ExceptionContinueExecution
     
    ret
SEHHandler endp 

7C92EAEC >  8B4C24 04       mov ecx,dword ptr ss:[esp+0x4]              
7C92EAF0    8B1C24          mov ebx,dword ptr ss:[esp]               
7C92EAF3    51              push ecx                                ; pContext
7C92EAF4    53              push ebx                                ; 压入pExceptionRecord
7C92EAF5    E8 C78C0200     call ntdll.7C9577C1                     ; 调用RtlDispatchException
7C92EAFA    0AC0            or al,al                                ; 判断返回是否为0，即是否调用成功
7C92EAFC    74 0C           je short ntdll.7C92EB0A                 ;失败则跳
7C92EAFE    5B              pop ebx
7C92EAFF    59              pop ecx
7C92EB00    6A 00           push 0x0
7C92EB02    51              push ecx
7C92EB03    E8 11EBFFFF     call ntdll.ZwContinue                   ; 调用RtlDispatchException成功则继续ZwContinue执行异常原来的代码

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

硬件断点检测与反检测.zip （8.40kb，1089次下载）
继续执行消息框.jpg （10.01kb，15次下载）
检测到硬件断点.jpg （6.80kb，13次下载）
未检测到硬件断点.jpg （6.39kb，14次下载）
异常错误框.jpg （22.02kb，14次下载）
软件界面.jpg （11.03kb，18次下载）

收藏・114

点赞・7

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 06:58

QinBeast

为你点赞~

2024-5-31 06:48

飘零丶

为你点赞~

2024-5-31 01:18

shinratensei

为你点赞~

2024-5-29 01:00

PLEBFE

为你点赞~

2023-3-5 04:16

Re_Upper

为你点赞~

2023-1-3 00:20

会简单的

为你点赞~

2022-4-12 21:27

最新回复 (12)
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 1 关注私信	sierra 1 2 楼学习了。 2013-11-22 03:54 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 3 楼标记下。内核层也可行吗？ 2013-11-22 12:05 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 9 关注私信	organic 3 4 楼内核层理论上应该是可以的，只是Hook函数不一样，还需要多处理一些东西，但是内核中搞SEH不是很稳定。 PS大家对这个主题不大感兴趣。 2013-11-24 23:01 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼谢谢分享，来看看 2013-11-24 23:18 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼一起扔板砖吧。 http://bbs.pediy.com/showthread.php?t=181833 2013-11-25 01:37 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 9 关注私信	organic 3 7 楼 [QUOTE=cvcvxk;1242123]一起扔板砖吧。 http://bbs.pediy.com/showthread.php?t=181833[/QUOTE] 我是引出玉了，哈哈 2013-11-25 09:14 0
sixL 雪币： 248 活跃值： (1141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 1 关注私信	sixL 8 楼注：RtlDispatchException这里我用的是硬编码，不同的电脑上可能会有不同，测试代码的朋友注意修正如何修正呢? 2013-11-26 13:08 0
youye 雪币： 1600 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 9 楼标记下，需要在过来看 2013-12-13 14:30 0
cqzj70 雪币： 77 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 10 楼国标到此一游 2014-1-16 15:11 0
itiansin 雪币： 75 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	itiansin 11 楼膜拜大牛唉如果有C++的写法就好了我就不用翻译了哈哈 2014-8-16 02:06 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 12 楼内连 _asm { mov eax,dr0 mov value,eax } switch(value) { 按情况分支就行了，主要检测dr0 } 2014-8-16 02:32 0
车纯民雪币： 70 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	车纯民 13 楼 include D:\codes\Inc\VikiInc.inc 楼主请问这个文件在哪里 2019-1-22 17:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

organic

发帖

105

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 1 关注私信	sierra 1 2 楼学习了。 2013-11-22 03:54 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 3 楼标记下。内核层也可行吗？ 2013-11-22 12:05 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 9 关注私信	organic 3 4 楼内核层理论上应该是可以的，只是Hook函数不一样，还需要多处理一些东西，但是内核中搞SEH不是很稳定。 PS大家对这个主题不大感兴趣。 2013-11-24 23:01 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼谢谢分享，来看看 2013-11-24 23:18 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼一起扔板砖吧。 http://bbs.pediy.com/showthread.php?t=181833 2013-11-25 01:37 0
organic 雪币： 659 活跃值： (499) 能力值： ( LV9，RANK：210 ) 在线值：发帖 27 回帖 105 粉丝 9 关注私信	organic 3 7 楼 [QUOTE=cvcvxk;1242123]一起扔板砖吧。 http://bbs.pediy.com/showthread.php?t=181833[/QUOTE] 我是引出玉了，哈哈 2013-11-25 09:14 0
sixL 雪币： 248 活跃值： (1141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 1 关注私信	sixL 8 楼注：RtlDispatchException这里我用的是硬编码，不同的电脑上可能会有不同，测试代码的朋友注意修正如何修正呢? 2013-11-26 13:08 0
youye 雪币： 1600 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 9 楼标记下，需要在过来看 2013-12-13 14:30 0
cqzj70 雪币： 77 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 10 楼国标到此一游 2014-1-16 15:11 0
itiansin 雪币： 75 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	itiansin 11 楼膜拜大牛唉如果有C++的写法就好了我就不用翻译了哈哈 2014-8-16 02:06 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 12 楼内连 _asm { mov eax,dr0 mov value,eax } switch(value) { 按情况分支就行了，主要检测dr0 } 2014-8-16 02:32 0
车纯民雪币： 70 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	车纯民 13 楼 include D:\codes\Inc\VikiInc.inc 楼主请问这个文件在哪里 2019-1-22 17:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]抛砖引玉—硬件断点的检测和反检测

账号登录 验证码登录

账号登录

验证码登录