[原创]调戏：Anti硬断的梗（2）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]调戏：Anti硬断的梗（2）

发表于: 2014-10-31 05:32 28783

[原创]调戏：Anti硬断的梗（2）

cvcvxk

2014-10-31 05:32

28783

原理：利用了4个硬断位置设置了4个有用的断点~

举例代码如下：（可以4个位置的关系与处理都可以再复杂很多很多倍。）

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・56

免费・3

支持

最新回复 (58) 1 2 3 ▶
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 2 楼前排友情出售广告位顺便近距离抚摸v大 2014-10-31 07:04 0
windcast 雪币： 1557 活跃值： (725) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 1 关注私信	windcast 3 楼占个板凳吧 2014-10-31 07:11 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 4 楼第一次离V大那么近 2014-10-31 07:33 0
xJJuno 雪币： 13274 活跃值： (4326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼早起搬砖搬凳子。。 2014-10-31 07:43 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 6 楼昨天还在看你的第一篇文章 2014-10-31 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 7 楼学习一下，是不是手工置位dr6的b0，如果是dr1,2,3引发了断点，就不跳，如果是dr0，就跳。 2014-10-31 09:13 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 8 楼消化下。。。。。。 2014-10-31 09:15 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼没看出精华在哪个？只是很好奇DR7 == 0X455，这个和平常设的不一样而已。难道是为了降低高CPU而故意设计的？ 2014-10-31 09:30 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 10 楼我哽咽了 2014-10-31 09:32 0
小色雪币： 20 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	小色 11 楼 v校的帖子，得看一下。 2014-10-31 09:51 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 12 楼板凳板凳 2014-10-31 10:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 13 楼 typedef struct _DEBUG_DR6_ { union{ ULONG32 _DR6; struct { unsigned B0 : 1; unsigned B1 : 1; unsigned B2 : 1; unsigned B3 : 1; unsigned Reverted : 9; unsigned BD : 1; unsigned BS : 1; unsigned Reverted2 : 17; }st; }u; }DEBUG_DR6, *PDEBUG_DR6; 新手请教下，这段个结构体不懂， unsigned 后面不是应该加类型吗为什么后面没有，那里的变量应该是什么类型的 2014-10-31 11:14 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼好变态,目测没办法pass~ 2014-10-31 11:27 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼 __try { } __except { } 用ADD添加Filter的说 2014-10-31 12:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼不懂啊~我一般不用那种Filter~ 那种很烦~ 2014-10-31 13:01 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 17 楼把检测线程干掉就OK了 2014-10-31 14:11 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 18 楼只能把主线程干掉了 2014-10-31 14:44 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 19 楼发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知识，TF位置1可触发单步异常，其错误号和硬断异常是一样的不过V大这个木有判断异常号，直接把fuck_call开头改成int3就可以了~ 最后又看了一眼，好像真的哎，将Fuck_call_XX全部改成int3,貌似就完爆了 2014-10-31 15:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼 [QUOTE=djzbxxz;1327546]发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知...[/QUOTE] 判断dr6硬断原因了~~ 2014-10-31 15:41 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 21 楼只是思路，不专针文章中的POC 2014-10-31 16:05 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 22 楼那貌似就只能是这个方法,再加上Hook KiUserExceptionDispatcher改Context了或者加个VEH? 2014-10-31 18:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼 KiUserExceptionDispatcher如果poc也hook了呢？ POC里没有做CRC校对，主要是为了突出POC~ 2014-10-31 20:52 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 24 楼接管调试流程，发现异常先检测是不是OD设置的断点，不是则还原DRX，当然之前得为每个线程维护一个DRX清单 2014-10-31 21:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼那么问题就来了，硬断被占坑之后，你无法使用硬断了~ 2014-10-31 21:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) 1 2 3 ▶
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 2 楼前排友情出售广告位顺便近距离抚摸v大 2014-10-31 07:04 0
windcast 雪币： 1557 活跃值： (725) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 1 关注私信	windcast 3 楼占个板凳吧 2014-10-31 07:11 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 4 楼第一次离V大那么近 2014-10-31 07:33 0
xJJuno 雪币： 13274 活跃值： (4326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 5 楼早起搬砖搬凳子。。 2014-10-31 07:43 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 6 楼昨天还在看你的第一篇文章 2014-10-31 08:43 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 7 楼学习一下，是不是手工置位dr6的b0，如果是dr1,2,3引发了断点，就不跳，如果是dr0，就跳。 2014-10-31 09:13 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 8 楼消化下。。。。。。 2014-10-31 09:15 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼没看出精华在哪个？只是很好奇DR7 == 0X455，这个和平常设的不一样而已。难道是为了降低高CPU而故意设计的？ 2014-10-31 09:30 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 10 楼我哽咽了 2014-10-31 09:32 0
小色雪币： 20 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	小色 11 楼 v校的帖子，得看一下。 2014-10-31 09:51 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 12 楼板凳板凳 2014-10-31 10:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 13 楼 typedef struct _DEBUG_DR6_ { union{ ULONG32 _DR6; struct { unsigned B0 : 1; unsigned B1 : 1; unsigned B2 : 1; unsigned B3 : 1; unsigned Reverted : 9; unsigned BD : 1; unsigned BS : 1; unsigned Reverted2 : 17; }st; }u; }DEBUG_DR6, *PDEBUG_DR6; 新手请教下，这段个结构体不懂， unsigned 后面不是应该加类型吗为什么后面没有，那里的变量应该是什么类型的 2014-10-31 11:14 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼好变态,目测没办法pass~ 2014-10-31 11:27 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼 __try { } __except { } 用ADD添加Filter的说 2014-10-31 12:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼不懂啊~我一般不用那种Filter~ 那种很烦~ 2014-10-31 13:01 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 17 楼把检测线程干掉就OK了 2014-10-31 14:11 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 18 楼只能把主线程干掉了 2014-10-31 14:44 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 19 楼发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知识，TF位置1可触发单步异常，其错误号和硬断异常是一样的不过V大这个木有判断异常号，直接把fuck_call开头改成int3就可以了~ 最后又看了一眼，好像真的哎，将Fuck_call_XX全部改成int3,貌似就完爆了 2014-10-31 15:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼 [QUOTE=djzbxxz;1327546]发表下小小的看法，提一个相对难和谐一点的破解方案~ hook fuck_call的调用点 __asm { pushfd or dword ptr[esp],0x100 jmp fuck_call } hook fuck_call __asm { popfd } 普及一下基本知...[/QUOTE] 判断dr6硬断原因了~~ 2014-10-31 15:41 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 21 楼只是思路，不专针文章中的POC 2014-10-31 16:05 0
djzbxxz 雪币： 218 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	djzbxxz 22 楼那貌似就只能是这个方法,再加上Hook KiUserExceptionDispatcher改Context了或者加个VEH? 2014-10-31 18:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼 KiUserExceptionDispatcher如果poc也hook了呢？ POC里没有做CRC校对，主要是为了突出POC~ 2014-10-31 20:52 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 24 楼接管调试流程，发现异常先检测是不是OD设置的断点，不是则还原DRX，当然之前得为每个线程维护一个DRX清单 2014-10-31 21:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼那么问题就来了，硬断被占坑之后，你无法使用硬断了~ 2014-10-31 21:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复