[原创]调戏：Anti硬断的梗（2）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]调戏：Anti硬断的梗（2）

发表于: 2014-10-31 05:32 28622

[原创]调戏：Anti硬断的梗（2）

cvcvxk

2014-10-31 05:32

28622

原理：利用了4个硬断位置设置了4个有用的断点~

举例代码如下：（可以4个位置的关系与处理都可以再复杂很多很多倍。）

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>

#pragma pack(1)
typedef struct _DEBUG_DR6_
{
	union{
		ULONG32 _DR6;
		struct {
			unsigned B0 : 1;
			unsigned B1 : 1;
			unsigned B2 : 1;
			unsigned B3 : 1;
			unsigned Reverted : 9;
			unsigned BD : 1;
			unsigned BS : 1;
			unsigned Reverted2 : 17;
		}st;
	}u;
}DEBUG_DR6, *PDEBUG_DR6;

typedef struct _DEBUG_DR7_
{
	union{
		ULONG32 _DR7;
		struct {
			unsigned L0 : 1; //0
			unsigned G0 : 1; //1
			unsigned L1 : 1; //2
			unsigned G1 : 1; //3
			unsigned L2 : 1; //4
			unsigned G2 : 1; //5
			unsigned L3 : 1; //6
			unsigned G3 : 1; //7
			unsigned LE : 1; //8
			unsigned GE : 1; //9
			unsigned reserved : 3; //001  //10-11-12
			unsigned GD : 1; //13...
			unsigned reserved2 : 2; //00
			unsigned RW0 : 2;
			unsigned LEN0 : 2;
			unsigned RW1 : 2;
			unsigned LEN1 : 2;
			unsigned RW2 : 2;
			unsigned LEN2 : 2;
			unsigned RW3 : 2;
			unsigned LEN3 : 2;
		}st;
	}u;
}DEBUG_DR7, *PDEBUG_DR7;
#pragma pack()

PVOID pHookAddress[4] = { NULL };//只有4个位置！
PVOID pJmpAddress[4] = { NULL };


int MyFilter(EXCEPTION_POINTERS * pException)
{
	static ULONG32 s_Count = 0;
	DEBUG_DR6 dr6;
	PCONTEXT pContext;
	pContext = pException->ContextRecord;
	dr6.u._DR6 = pException->ContextRecord->Dr6;
	printf("%x eip = %p except %x\r\n",s_Count++, pContext->Eip,pException->ExceptionRecord->ExceptionCode);
	if (dr6.u.st.B0)
	{
		if (pContext->Eip == (DWORD)pHookAddress[0])
		{
			pContext->Eip = (DWORD)pJmpAddress[0];
		}
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	if (dr6.u.st.B1)
	{
		if (pContext->Eip == (DWORD)pHookAddress[1])
		{
			pContext->Eip = (DWORD)pJmpAddress[1];
		}
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	if (dr6.u.st.B2)
	{
		if (pContext->Eip == (DWORD)pHookAddress[2])
		{
			pContext->Eip = (DWORD)pJmpAddress[2];
		}
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	if (dr6.u.st.B3)
	{
		if (pContext->Eip == (DWORD)pHookAddress[3])
		{
			pContext->Eip = (DWORD)pJmpAddress[3];
		}
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	return EXCEPTION_CONTINUE_SEARCH;
}

void Fuck_Call()
{
	MessageBoxA(NULL, "异常\r\n", "提示", MB_OK);
	ExitProcess(-1);
}

void Fuck_OK()
{
	Sleep(1);
}

void Fuck_Call_3()
{
	MessageBoxA(NULL, "异常3\r\n", "提示3", MB_OK);
	ExitProcess(-1);
}
void Fuck_Call_1()
{
	MessageBoxA(NULL, "异常1\r\n", "提示1", MB_OK);
	ExitProcess(-1);
}

void Fuck_Call_2()
{
	MessageBoxA(NULL, "异常2\r\n", "提示2", MB_OK);
	ExitProcess(-1);
}

void setHwbp()
{
	CONTEXT ctx = { 0 };
	ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
	if (GetThreadContext(GetCurrentThread(), &ctx))
	{
		ctx.Dr0 = (DWORD)pHookAddress[0];
		ctx.Dr1 = (DWORD)pHookAddress[1];
		ctx.Dr2 = (DWORD)pHookAddress[2];
		ctx.Dr3 = (DWORD)pHookAddress[3];
		ctx.Dr7 = 0x455;
		ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
		SetThreadContext(GetCurrentThread(), &ctx);
		//printf("set hwbp ok\r\n");
	}
}
void NormalLoop()
{
	setHwbp();
	while (1)
	{
		__try
		{
			Fuck_Call();
			Fuck_Call_3();
			Fuck_Call_2();
			Fuck_Call_1();
		}
		__except (MyFilter(GetExceptionInformation()))
		{

		}
		Sleep(1000);
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	pJmpAddress[0] = (PVOID)Fuck_OK;
	pHookAddress[0] = (PVOID)Fuck_Call;
	pJmpAddress[1] = (PVOID)Fuck_OK;
	pHookAddress[1] = (PVOID)Fuck_Call_3;
	pJmpAddress[2] = (PVOID)Fuck_OK;
	pHookAddress[2] = (PVOID)Fuck_Call_2;
	pJmpAddress[3] = (PVOID)Fuck_OK;
	pHookAddress[3] = (PVOID)Fuck_Call_1;

	NormalLoop();
	return 0;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・56

免费・3

支持

最新回复 (58) 1 2 3 ▶
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 2 楼前排友情出售广告位顺便近距离抚摸v大 2014-10-31 07:04 0
windcast 雪币： 1495 活跃值： (675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 1 关注私信	windcast 3 楼占个板凳吧 2014-10-31 07:11 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 4 楼第一次离V大那么近 2014-10-31 07:33 0
xJJuno 雪币： 12921 活跃值： (4026) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼早起搬砖搬凳子。。 2014-10-31 07:43 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 6 楼昨天还在看你的第一篇文章 2014-10-31 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 7 楼学习一下，是不是手工置位dr6的b0，如果是dr1,2,3引发了断点，就不跳，如果是dr0，就跳。 2014-10-31 09:13 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 8 楼消化下。。。。。。 2014-10-31 09:15 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼没看出精华在哪个？只是很好奇DR7 == 0X455，这个和平常设的不一样而已。难道是为了降低高CPU而故意设计的？ 2014-10-31 09:30 0
wonderzdh 雪币： 62 活跃值： (946) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 10 楼我哽咽了 2014-10-31 09:32 0
小色雪币： 20 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	小色 11 楼 v校的帖子，得看一下。 2014-10-31 09:51 0
topofall 雪币： 124 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 12 楼板凳板凳 2014-10-31 10:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 13 楼 typedef struct _DEBUG_DR6_ { union{ ULONG32 _DR6; struct { unsigned B0 : 1; unsigned B1 : 1; unsigned B2 : 1; unsigned B3 : 1; unsigned Reverted : 9; unsigned BD : 1; unsigned BS : 1; unsigned Reverted2 : 17; }st; }u; }DEBUG_DR6, *PDEBUG_DR6; 新手请教下，这段个结构体不懂， unsigned 后面不是应该加类型吗为什么后面没有，那里的变量应该是什么类型的 2014-10-31 11:14 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼好变态,目测没办法pass~ 2014-10-31 11:27 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼 __try { } __except { } 用ADD添加Filter的说 2014-10-31 12:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼不懂啊~我一般不用那种Filter~ 那种很烦~ 2014-10-31 13:01 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 17 楼把检测线程干掉就OK了 2014-10-31 14:11 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 18 楼只能把主线程干掉了 2014-10-31 14:44 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 19 楼发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知识，TF位置1可触发单步异常，其错误号和硬断异常是一样的不过V大这个木有判断异常号，直接把fuck_call开头改成int3就可以了~ 最后又看了一眼，好像真的哎，将Fuck_call_XX全部改成int3,貌似就完爆了 2014-10-31 15:16 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 20 楼 [QUOTE=djzbxxz;1327546]发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知...[/QUOTE] 判断dr6硬断原因了~~ 2014-10-31 15:41 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 21 楼只是思路，不专针文章中的POC 2014-10-31 16:05 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 22 楼那貌似就只能是这个方法,再加上Hook KiUserExceptionDispatcher改Context了或者加个VEH? 2014-10-31 18:08 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 23 楼 KiUserExceptionDispatcher如果poc也hook了呢？ POC里没有做CRC校对，主要是为了突出POC~ 2014-10-31 20:52 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 24 楼接管调试流程，发现异常先检测是不是OD设置的断点，不是则还原DRX，当然之前得为每个线程维护一个DRX清单 2014-10-31 21:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 25 楼那么问题就来了，硬断被占坑之后，你无法使用硬断了~ 2014-10-31 21:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) 1 2 3 ▶
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 2 楼前排友情出售广告位顺便近距离抚摸v大 2014-10-31 07:04 0
windcast 雪币： 1495 活跃值： (675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 1 关注私信	windcast 3 楼占个板凳吧 2014-10-31 07:11 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 4 楼第一次离V大那么近 2014-10-31 07:33 0
xJJuno 雪币： 12921 活跃值： (4026) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼早起搬砖搬凳子。。 2014-10-31 07:43 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 6 楼昨天还在看你的第一篇文章 2014-10-31 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 7 楼学习一下，是不是手工置位dr6的b0，如果是dr1,2,3引发了断点，就不跳，如果是dr0，就跳。 2014-10-31 09:13 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 8 楼消化下。。。。。。 2014-10-31 09:15 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼没看出精华在哪个？只是很好奇DR7 == 0X455，这个和平常设的不一样而已。难道是为了降低高CPU而故意设计的？ 2014-10-31 09:30 0
wonderzdh 雪币： 62 活跃值： (946) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 10 楼我哽咽了 2014-10-31 09:32 0
小色雪币： 20 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	小色 11 楼 v校的帖子，得看一下。 2014-10-31 09:51 0
topofall 雪币： 124 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 12 楼板凳板凳 2014-10-31 10:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 13 楼 typedef struct _DEBUG_DR6_ { union{ ULONG32 _DR6; struct { unsigned B0 : 1; unsigned B1 : 1; unsigned B2 : 1; unsigned B3 : 1; unsigned Reverted : 9; unsigned BD : 1; unsigned BS : 1; unsigned Reverted2 : 17; }st; }u; }DEBUG_DR6, *PDEBUG_DR6; 新手请教下，这段个结构体不懂， unsigned 后面不是应该加类型吗为什么后面没有，那里的变量应该是什么类型的 2014-10-31 11:14 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼好变态,目测没办法pass~ 2014-10-31 11:27 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼 __try { } __except { } 用ADD添加Filter的说 2014-10-31 12:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼不懂啊~我一般不用那种Filter~ 那种很烦~ 2014-10-31 13:01 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 17 楼把检测线程干掉就OK了 2014-10-31 14:11 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 18 楼只能把主线程干掉了 2014-10-31 14:44 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 19 楼发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知识，TF位置1可触发单步异常，其错误号和硬断异常是一样的不过V大这个木有判断异常号，直接把fuck_call开头改成int3就可以了~ 最后又看了一眼，好像真的哎，将Fuck_call_XX全部改成int3,貌似就完爆了 2014-10-31 15:16 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 20 楼 [QUOTE=djzbxxz;1327546]发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知...[/QUOTE] 判断dr6硬断原因了~~ 2014-10-31 15:41 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 21 楼只是思路，不专针文章中的POC 2014-10-31 16:05 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 22 楼那貌似就只能是这个方法,再加上Hook KiUserExceptionDispatcher改Context了或者加个VEH? 2014-10-31 18:08 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 23 楼 KiUserExceptionDispatcher如果poc也hook了呢？ POC里没有做CRC校对，主要是为了突出POC~ 2014-10-31 20:52 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 24 楼接管调试流程，发现异常先检测是不是OD设置的断点，不是则还原DRX，当然之前得为每个线程维护一个DRX清单 2014-10-31 21:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 25 楼那么问题就来了，硬断被占坑之后，你无法使用硬断了~ 2014-10-31 21:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复