见字如面，我是东北码农。

上文我们介绍了硬件断点，大家可以回顾一下。本文将介绍使用硬件断点+veh，实现硬件断点hook。

关注后，聊天框回复“硬件断点hook”，可以获取本文源码。

硬件断点这个手法，我还是分析外挂时学到的。开始做反外挂时候，只会用xuetr、pchunter等工具查看游戏进程的inlinehook，分析修改了游戏的哪些代码，然后再防御。然后有一天，我发现了一个外挂不按套路出牌，没有修改任何代码实现了透视功能，我就很纳闷这个外挂是怎么实现的呢，不改代码我怎么防啊？

后来经过不断学习，才知道hook的方式有很多种，硬件断点hook就是其中一种比较隐蔽的hook方式，可以在不修改源函数的前提实现hook，这一点比inlinehook强。

我们先来介绍一下VEH，先放一段微软官方描述。

参考资料：https://docs.microsoft.com/en-us/windows/win32/debug/vectored-exception-handling

<font color=gray size=2>
Vectored exception handlers are an extension to structured exception handling. An application can register a function to watch or handle all exceptions for the application. Vectored handlers are not frame-based, therefore, you can add a handler that will be called regardless of where you are in a call frame. Vectored handlers are called in the order that they were added, after the debugger gets a first chance notification, but before the system begins unwinding the stack.
</font>

大概意思是，程序可以注册异常回调函数链表。当程序触发异常时，回调函数就会按照用户指定的顺序依次调用。

向VEH链注册一个异常处理函数，可以使用windows提供的API，

接下来看一下异常处理函数，PVECTORED_EXCEPTION_HANDLER 的定义：

唯一的参数_EXCEPTION_POINTERS指向异常信息，定义如下：

定义如下：

异常处理函数的返回值很重要，控制着异常处理的后续行为：

<font color=gray size=2>
To return control to the point at which the exception occurred, return EXCEPTION_CONTINUE_EXECUTION (0xffffffff). To continue the handler search, return EXCEPTION_CONTINUE_SEARCH (0x0).

</font>

返回-1：异常已处理，继续执行；

返回0：继续调用VEH链的其它处理函数。

介绍完硬件断点和veh后，我们就可以实现硬件断点hook了。我们先介绍一下思路：

设置VEH链异常处理函数。

设置硬件断点，监控原函数的执行事件。

执行原函数时，会触发异常调用我们的异常处理函数。

异常处理函数判断，如果是原函数地址，则修改rip寄存器，跳转到hook函数。

异常处理函数，xx_hw_bp_veh的实现一会再介绍。

先记录一下原函数和hook函数的映射关系，再使用上文硬件断点封装好的xx_set_hw_bp设置硬件断点。

先通过异常地址，找到对应的hook函数地址。若找到，则修改Rip（指令寄存器）实现跳转；找不到则不是我们关心的异常，交给VEH链继续处理吧。

使用时先制作跳板，再hook。制作跳板复用inlinehook的代码。由于不修改代码，所以跳板值需要复制一条指令即可。复制的代码少，所以也基本不用考虑重定位问题。

欢迎大家点赞、转发、再看、留言交流~

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)