[分享]调戏：海森堡原理内存访问检测的梗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]调戏：海森堡原理内存访问检测的梗

发表于: 2014-5-11 15:42 17193

[分享]调戏：海森堡原理内存访问检测的梗

cvcvxk

2014-5-11 15:42

17193

名字高大上的梗，其实如果知道了具体原因就会觉得很简单。
首先说一下海森堡原理是什么
从百度百科可以得知
http://baike.baidu.com/view/24947.htm
海森堡原理就是如果测量某个参数必然导致其他参数被改变。

那么当调试器存在时，会改变那些事情呢？
这里不得不提到一个古老的掉渣的东西就是PAGE_GUARD属性。
当任意一个内存页属性被设置上PAGE_GUARD时，
访问该页会抛出一个异常，并消除PAGE_GUARD属性。
但是如果是调试器或者其他进程使用API去访问内存的时候，
不会触发进程内部异常，而且访问后，该属性就会消失。
于是有一种奇葩的逻辑就诞生了。

实现方式:
1.设置一个异常扑捉（VEH或者HOOK）。
2.遍历指定模块的内存分布（块状分布，其实可以直接对整个模块做处理，效率都差不多）。
3.对指定模块的内存进行设置PAGE_GUARD。
4.异常中处理PAGE_GUARD异常的并做标记
5.定时检查指定模块的内存是否PAGE_GUARD属性被去除和重新设置PAGE_GUARD，
如果被去除，则判断是否正常的异常，不是则退出进程。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・58

免费・4

支持

最新回复 (35) 1 2 ▶
fujing 雪币： 2913 活跃值： (3944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 3 关注私信	fujing 2 楼有点意思 2014-5-11 15:43 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 3 楼老V发贴，顶了再看,,,,,,,,,, 2014-5-11 15:44 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼让我想起KHOBE了 2014-5-11 15:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼继续坐等15年来指正错误。 2014-5-11 15:49 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 6 楼排排坐。。 2014-5-11 15:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼我又不是鸿老爷子，排座位有啥用？ 2014-5-11 15:52 0
暮色丶雪币： 14 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	暮色丶 8 楼这爆的好给力.... 2014-5-11 15:54 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 9 楼同3楼。。。 2014-5-11 15:56 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 10 楼抽出小板凳来学习 2014-5-11 15:56 0
Yecate 雪币： 127 活跃值： (2803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 11 楼前排强势插入 2014-5-11 16:01 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 12 楼 http://bbs.pediy.com/showthread.php?t=76698 这是篇老文章。我印象中好像PAGE_GUARD应该是个硬件标志，和内存dirty标志一样是硬件产生的。 2014-5-11 16:03 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼这篇果然够老~ 2014-5-11 16:18 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 14 楼先收藏，顶楼主，再学习 2014-5-11 16:47 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼一种另类的海森堡原理 2014-5-11 17:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼老V最近手头又紧拉？ 2014-5-11 19:26 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼忙里偷闲，写个帖子。 2014-5-12 02:44 0
shawge 雪币： 246 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	shawge 18 楼我是致谢党，呵呵。 2014-5-12 07:53 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 19 楼。。。看了那么久才明白这是一个反调试的帖子.. 2014-5-12 14:31 0
hulucc 雪币： 81 活跃值： (110) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 20 楼 OD单步的时候其他线程都是挂起的,该看的还是能看到吧 2014-5-12 15:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 21 楼但是几分钟后挂X~ 2014-5-12 19:29 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 22 楼问题是杀软也会注入，也会扫描。。。。。。。 2014-5-12 20:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼呵呵，你高看某些杀软的逻辑了~ 白名单不扫描的~文件加载的时候已经白名单，以后内存什么的都不理会的~ 2014-5-12 20:12 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 24 楼学习了。确实是个好方法游戏内读内存会抛出一个异常。 2014-5-12 21:39 0
chenjinfff 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	chenjinfff 25 楼学习了，虽然暂时没用到，暂时做个了解吧 2014-5-12 21:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
fujing 雪币： 2913 活跃值： (3944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 3 关注私信	fujing 2 楼有点意思 2014-5-11 15:43 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 3 楼老V发贴，顶了再看,,,,,,,,,, 2014-5-11 15:44 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼让我想起KHOBE了 2014-5-11 15:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼继续坐等15年来指正错误。 2014-5-11 15:49 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 6 楼排排坐。。 2014-5-11 15:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼我又不是鸿老爷子，排座位有啥用？ 2014-5-11 15:52 0
暮色丶雪币： 14 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	暮色丶 8 楼这爆的好给力.... 2014-5-11 15:54 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 9 楼同3楼。。。 2014-5-11 15:56 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 10 楼抽出小板凳来学习 2014-5-11 15:56 0
Yecate 雪币： 127 活跃值： (2803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 11 楼前排强势插入 2014-5-11 16:01 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 12 楼 http://bbs.pediy.com/showthread.php?t=76698 这是篇老文章。我印象中好像PAGE_GUARD应该是个硬件标志，和内存dirty标志一样是硬件产生的。 2014-5-11 16:03 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼这篇果然够老~ 2014-5-11 16:18 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 14 楼先收藏，顶楼主，再学习 2014-5-11 16:47 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼一种另类的海森堡原理 2014-5-11 17:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼老V最近手头又紧拉？ 2014-5-11 19:26 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼忙里偷闲，写个帖子。 2014-5-12 02:44 0
shawge 雪币： 246 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	shawge 18 楼我是致谢党，呵呵。 2014-5-12 07:53 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 19 楼。。。看了那么久才明白这是一个反调试的帖子.. 2014-5-12 14:31 0
hulucc 雪币： 81 活跃值： (110) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 20 楼 OD单步的时候其他线程都是挂起的,该看的还是能看到吧 2014-5-12 15:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 21 楼但是几分钟后挂X~ 2014-5-12 19:29 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 22 楼问题是杀软也会注入，也会扫描。。。。。。。 2014-5-12 20:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼呵呵，你高看某些杀软的逻辑了~ 白名单不扫描的~文件加载的时候已经白名单，以后内存什么的都不理会的~ 2014-5-12 20:12 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 24 楼学习了。确实是个好方法游戏内读内存会抛出一个异常。 2014-5-12 21:39 0
chenjinfff 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	chenjinfff 25 楼学习了，虽然暂时没用到，暂时做个了解吧 2014-5-12 21:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复