如果你设置了异常的话是可以捕获的，哪里发生异常eip就是哪里，代码段而不是数据段

了解了 大牛 我发现一个问题 我在一个地址内存属性设置禁止运行的时候 异常的eip竟然是这个地址所在内存段段首

因为VirtualProtect设置的是整个内存页的属性，执行到该页头部的代码时就会产生异常，通常并不是你想Hook的点。

首先在这个问题之前先要了解一个调试器的基础知识-内存断点实现原理
也就是ZChameleon所说的VirtualProtect问题
内存断点工作原理是通过VirtualProtect设置一个地址为不可读时，他其实是设置你这个地址所在的一整个内存页的属性都是不可读的，这个范围如果我没记错是4K也就是说内存断点是断的一个范围
内存断点 这种断点不同于硬件断点或CC断点，硬件断点或CC断点他们只会让异常捕获一次就能实现就是你所要断下的位置，而内存断点会触发多次，然后有你的异常处理函数来过滤哪次断点是你所要的

下面附上代码举例说明一下
添加一个内存断点地址是0050020
  ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS,False,GetCurrentProcessId());
  if (ProcessHandle = 0) or (ProcessHandle = INVALID_HANDLE_VALUE) then Exit;
  VEHInstall();
  MemoryBreakPoint:=TMemoryBreakPoint.Create(ProcessHandle);
  MemoryBreakPoint.AddMBP($0050020);

假如所在的代码页有这两行指令访问到了
0400100: mov eax,[0050024]<--因为是在同一内存页所以这里也会断到通过过滤把他去除
0400200: mov eax,[0050020]<--要断的位置

type
  PExceptionRecord = ^TExceptionRecord;
  _EXCEPTION_RECORD = record
    ExceptionCode: DWORD;
    ExceptionFlags: DWORD;
    ExceptionRecord: PExceptionRecord;
    ExceptionAddress: Pointer;<-----内存断点触发时访问你VirtualProtect所设置的内存页的汇编指令地址就是EIP
    NumberParameters: DWORD;
    ExceptionInformation: array[0..EXCEPTION_MAXIMUM_PARAMETERS - 1] of DWORD;<-----ExceptionInformation[1]中是当前在内存页中所被访问到的地址
  end;

function ExceptionHandler(const exce: TExceptionPointers): LongInt; stdcall;
const
  EXCEPTION_CONTINUE_SEARCH = 0;
  EXCEPTION_EXECUTE_HANDLER = 1;
  EXCEPTION_CONTINUE_EXECUTION = -1;
var
  per: PExceptionRecord;
begin
  per := exce.ExceptionRecord;
  case per.ExceptionCode of
    EXCEPTION_ACCESS_VIOLATION:  //内存断点异常
    begin
      if per.ExceptionInformation[1] = $0050020 then
      begin
        TTLog.Log(Format('内存断点异常 汇编地址:%.8x 访问地址:%.8x', [Cardinal(per.ExceptionAddress),per.ExceptionInformation[1]]));
        //这里就只会断到0400200所在的汇编指令了做你的处理
        MemoryBreakPoint.DelMBP($0050020);//删除掉断点
        Result:=EXCEPTION_CONTINUE_EXECUTION;//正常运行
        Exit;
      end;
    end;   
  end;
  Result := EXCEPTION_CONTINUE_SEARCH;//下一次搜索
end;

VEH是个非常不错的东西用他同样可以实现调试器的功能

谢谢大牛 很详细啊 受教了

进来学习