[原创]开源-自写调试器 Win32 VEH 硬件CR7 实现读写访问异常-逆向工程-看雪安全社区

[原创]开源-自写调试器 Win32 VEH 硬件CR7 实现读写访问异常

发表于: 5天前 1785

[原创]开源-自写调试器 Win32 VEH 硬件CR7 实现读写访问异常

KsaNL

5天前

1785

#define ntid() (HANDLE)-2
// =====================================================
// DR7 编码工具
// =====================================================
enum class HwBpType : BYTE {
    Execute = 0,   // R/W = 00
    Write = 1,   // R/W = 01
    Access = 3    // R/W = 11 (读写)
};
enum class HwBpSize : BYTE {
    Size1 = 0,     // LEN = 00 → 1 字节
    Size2 = 1,     // LEN = 01 → 2 字节
    Size4 = 3,     // LEN = 11 → 4 字节
    Size8 = 2      // LEN = 10 → 8 字节 (x64)
};
// =====================================================
// VEH Handler
// =====================================================
struct BpRecord {
    DWORD_PTR address;
    DWORD_PTR rip;
    DWORD     drIndex;
    bool      hit;
};
static volatile BpRecord g_lastHit = {};
static volatile int g_stepping = 0;
static volatile DWORD_PTR g_savedDR7 = 0;
LONG CALLBACK HwBpVEH(EXCEPTION_POINTERS* ep) {
    PCONTEXT ctx = ep->ContextRecord;
    if (ep->ExceptionRecord->ExceptionCode != STATUS_SINGLE_STEP)
        return EXCEPTION_CONTINUE_SEARCH;
    if (g_stepping == 0) {
        // ========== 断点命中 ==========
        DWORD dr6 = (DWORD)ctx->Dr6;
        DWORD drIndex = 0xFFFF;
        if (dr6 & 0x1) drIndex = 0;
        else if (dr6 & 0x2) drIndex = 1;
        else if (dr6 & 0x4) drIndex = 2;
        else if (dr6 & 0x8) drIndex = 3;
        else return EXCEPTION_CONTINUE_SEARCH; // 不是我们的断点
        // 记录命中信息
        g_lastHit.rip = ctx->Rip;
        g_lastHit.drIndex = drIndex;
        g_lastHit.hit = true;
        switch (drIndex) {
        case 0: g_lastHit.address = ctx->Dr0; break;
        case 1: g_lastHit.address = ctx->Dr1; break;
        case 2: g_lastHit.address = ctx->Dr2; break;
        case 3: g_lastHit.address = ctx->Dr3; break;
        }
        printf("[!] DR%d HIT | RIP: 0x%p | Watched Addr: 0x%p\n",
            drIndex, (void*)ctx->Rip, (void*)g_lastHit.address);
        // 临时禁用所有断点，设 TF 单步跳过当前指令
        g_savedDR7 = ctx->Dr7;
        ctx->Dr7 = 0;
        ctx->EFlags |= 0x100;  // TF = 1
        ctx->Dr6 = 0;
        g_stepping = 1;
        return EXCEPTION_CONTINUE_EXECUTION;
    }
    else {
        // ========== TF 单步完成，恢复断点 ==========
        ctx->Dr7 = g_savedDR7;
        ctx->Dr6 = 0;
        g_stepping = 0;
        return EXCEPTION_CONTINUE_EXECUTION;
    }
}
// =====================================================
// 对当前线程设置硬件断点
// =====================================================
bool SetHardwareBreakpoint(
    DWORD     drIndex,   // 0~3
    void* address,   // 监控地址
    HwBpType  type,      // Execute / Write / Access
    HwBpSize  size       // 1/2/4/8 字节
) {
    if (drIndex > 3) return false;
    CONTEXT ctx = {};
    ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
    HANDLE hThread = ntid();
    // 使用你的 nt 封装
    NTSTATUS status = ntGetContextThread(hThread, &ctx);
    if (status != 0) {
        printf("[-] ntGetContextThread failed: 0x%08X\n", status);
        return false;
    }
    // 写入目标地址到 DRn
    switch (drIndex) {
    case 0: ctx.Dr0 = (DWORD_PTR)address; break;
    case 1: ctx.Dr1 = (DWORD_PTR)address; break;
    case 2: ctx.Dr2 = (DWORD_PTR)address; break;
    case 3: ctx.Dr3 = (DWORD_PTR)address; break;
    }
    // 清除该 DR 在 DR7 中的旧配置
    // 每个 DR 占：L位(1bit) + G位(1bit) + 条件(2bit) + 长度(2bit)
    // Ln 在 bit 2*n, Gn 在 bit 2*n+1
    // R/Wn 在 bit 16 + 4*n (2bits)
    // LENn 在 bit 18 + 4*n (2bits)
    DWORD_PTR clearMask = 0;
    clearMask |= (DWORD_PTR)0x3 << (drIndex * 2);       // 清 Ln, Gn
    clearMask |= (DWORD_PTR)0xF << (16 + drIndex * 4);  // 清 R/W, LEN
    ctx.Dr7 &= ~clearMask;
    // 设置新配置
    ctx.Dr7 |= (DWORD_PTR)1 << (drIndex * 2);                          // Ln = 1 (局部启用)
    ctx.Dr7 |= (DWORD_PTR)((BYTE)type) << (16 + drIndex * 4);          // R/W
    ctx.Dr7 |= (DWORD_PTR)((BYTE)size) << (18 + drIndex * 4);          // LEN
    // 写回
    status = ntSetContextThread(hThread, &ctx);
    if (status != 0) {
        printf("[-] ntSetContextThread failed: 0x%08X\n", status);
        return false;
    }
    printf("[+] DR%d set | Addr: 0x%p | Type: %d | Size: %d\n",
        drIndex, address, (int)type, (int)size);
    return true;
}
// =====================================================
// 移除硬件断点
// =====================================================
bool RemoveHardwareBreakpoint(DWORD drIndex) {
    if (drIndex > 3) return false;
    CONTEXT ctx = {};
    ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
    HANDLE hThread = ntid();
    ntGetContextThread(hThread, &ctx);
    // 清地址
    switch (drIndex) {
    case 0: ctx.Dr0 = 0; break;
    case 1: ctx.Dr1 = 0; break;
    case 2: ctx.Dr2 = 0; break;
    case 3: ctx.Dr3 = 0; break;
    }
    // 清 DR7 配置
    DWORD_PTR clearMask = 0;
    clearMask |= (DWORD_PTR)0x3 << (drIndex * 2);
    clearMask |= (DWORD_PTR)0xF << (16 + drIndex * 4);
    ctx.Dr7 &= ~clearMask;
    ctx.Dr6 = 0;
    ntSetContextThread(hThread, &ctx);
    printf("[+] DR%d removed\n", drIndex);
    return true;
}
// =====================================================
// 使用示例
// =====================================================
volatile DWORD g_testValue = 0xDEAD;
int test() {
    // 1. 注册 VEH（最高优先级）
    PVOID veh = rtlAddVectoredExceptionHandler(1, HwBpVEH);
    if (!veh) {
        printf("[-] AddVectoredExceptionHandler failed\n");
        return 1;
    }
    printf("[*] VEH registered\n");
    // 2. 在 DR0 上设置写入断点，监控 g_testValue
    SetHardwareBreakpoint(
        0,                              // DR0
        (void*)&g_testValue,            // 监控地址
        HwBpType::Write,                // 写入触发
        HwBpSize::Size4                 // 4 字节
    );
    // 3. 触发断点
    printf("\n[*] Writing 0xBEEF...\n");
    g_testValue = 0xBEEF;
    printf("[*] Value after write: 0x%X\n", g_testValue);
    printf("\n[*] Writing 0xCAFE...\n");
    g_testValue = 0xCAFE;
    printf("[*] Value after write: 0x%X\n", g_testValue);
    printf("\n[*] Writing 0x1337...\n");
    g_testValue = 0x1337;
    printf("[*] Value after write: 0x%X\n", g_testValue);
    // 4. 移除断点
    RemoveHardwareBreakpoint(0);
    // 5. 不再触发
    printf("\n[*] Writing after removal...\n");
    g_testValue = 0x9999;
    printf("[*] No hit. Value: 0x%X\n", g_testValue);
    // 6. 清理
    rtlRemoveVectoredExceptionHandler(veh);
    printf("\n[*] Done.\n");
    return 0;
}

回复或点赞可查看完整内容

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

最后于 5天前被KsaNL编辑，原因：

#调试逆向 #软件保护 #VM保护 #加密算法 #病毒木马 #其他内容

收藏・42

免费・33

打赏

赞赏记录

参与人

雪币

留言

时间

the_hs

为你点赞！

2小时前

断线风筝

这个讨论对我很有帮助，谢谢！

4小时前

MochaCo

你的分享对大家帮助很大，非常感谢！

22小时前

Dy1an

这个讨论对我很有帮助，谢谢！

23小时前

mb_tvmcbdnl

你的帖子非常有用，感谢分享！

1天前

merryfish

感谢你分享这么好的资源！

1天前

山河万里

这个讨论对我很有帮助，谢谢！

2天前

mb_zuuyenge

这个讨论对我很有帮助，谢谢！

2天前

马来

非常支持你的观点！

2天前

appview

为你点赞！

2天前

我不是深渊

为你点赞！

2天前

git_22698dwqdwq212

为你点赞！

2天前

RedSand07

感谢你分享这么好的资源！

3天前

我的小拇指啊

感谢你分享这么好的资源！

3天前

mb_dqqyuxaq

非常支持你的观点！

3天前

qqizai

感谢你的贡献，论坛因你而更加精彩！

3天前

wx_L_884

非常支持你的观点！

4天前

hxsoft

这个讨论对我很有帮助，谢谢！

4天前

ldljlzw

感谢你分享这么好的资源！

4天前

mb_mdszzvdw

为你点赞！

4天前

KRIGERNM1G

感谢你的贡献，论坛因你而更加精彩！

4天前

KooJiSung

你的帖子非常有用，感谢分享！

4天前

MsScotch

非常支持你的观点！

4天前

咖啡_741298

这个讨论对我很有帮助，谢谢！

4天前

yufb

这个讨论对我很有帮助，谢谢！

4天前

cr_lgdx

为你点赞！

4天前

勒LI

感谢你的贡献，论坛因你而更加精彩！

4天前

涙涙涙

你的分享对大家帮助很大，非常感谢！

4天前

醉染

感谢你分享这么好的资源！

5天前

mb_hzfcelhs

感谢你分享这么好的资源！

5天前

huangyalei

你的帖子非常有用，感谢分享！

5天前

_DriverEntry

感谢你的积极参与，期待更多精彩内容！

5天前

wx_0.0_522

谢谢你的细致分析，受益匪浅！

5天前

最新回复 (29) 1 2 ▶
tianhaoday 雪币： 838 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 2 关注私信	tianhaoday 2 楼谢谢你的细致分析，受益匪浅！ 5天前 0
mb_ozcmrmsr 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ozcmrmsr 3 楼认真学习 4天前 0
email123 雪币： 21938 活跃值： (7005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 244 粉丝 1 关注私信	email123 4 楼 thanks for share 4天前 0
尺间萤火雪币： 253 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	尺间萤火 5 楼认真学习 4天前 0
自由狼雪币： 2435 活跃值： (3097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 2 关注私信	自由狼 6 楼学习下 4天前 0
wx_Huber Barrientos 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 169 粉丝 1 关注私信	wx_Huber Barrientos 7 楼 666 4天前 0
mb_urzqsoer 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 100 粉丝 0 关注私信	mb_urzqsoer 8 楼 6666666 4天前 0
mb_tuinapal 雪币： 31 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	mb_tuinapal 9 楼感谢你的贡献，论坛因你而更加精彩！ 4天前 0
善翁雪币： 7524 活跃值： (6505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	善翁 10 楼谢谢分享 4天前 0
寞叶雪币： 230 活跃值： (264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	寞叶 11 楼谢谢分享 4天前 0
chengdrgon 雪币： 12962 活跃值： (7297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 155 粉丝 1 关注私信	chengdrgon 12 楼感谢分享，看看隐藏 4天前 0
书生怕怕雪币： 108 活跃值： (1619) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 83 粉丝 1 关注私信	书生怕怕 13 楼感谢你的贡献 3天前 0
dangluan 雪币： 0 活跃值： (4430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dangluan 14 楼 6666666 3天前 0
yuanyouran 雪币： 955 活跃值： (2481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 135 粉丝 0 关注私信	yuanyouran 15 楼感谢分享 3天前 0
jihongwdlp 雪币： 8725 活跃值： (5686) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jihongwdlp 16 楼谢谢大佬的分享，现在还看不明白，在慢慢的学习中 3天前 0
ttstation 雪币： 1113 活跃值： (1026) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	ttstation 17 楼谢谢大佬的分享!! 3天前 0
樂樂雪币： 8706 活跃值： (6876) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 98 粉丝 2 关注私信	樂樂 18 楼感谢大佬分享 3天前 0
啊你好哇123 雪币： 426 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 288 粉丝 0 关注私信	啊你好哇123 19 楼，学习学习 3天前 0
mb_rqlksylg 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	mb_rqlksylg 20 楼 good 3天前 0
空处雪币： 11489 活跃值： (7375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 2 关注私信	空处 21 楼学习了，多谢分享 3天前 0
mb_wdhsjycl 雪币： 185 活跃值： (2351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	mb_wdhsjycl 22 楼学习 2天前 0
Annilans 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Annilans 23 楼 666 2天前 0
拍拖雪币： 2790 活跃值： (6517) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 384 粉丝 14 关注私信	拍拖 2 24 楼感谢分享！ 2天前 0
mb_fzwldzav 雪币： 427 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	mb_fzwldzav 25 楼 mark 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KsaNL

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
tianhaoday 雪币： 838 活跃值： (1437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 2 关注私信	tianhaoday 2 楼谢谢你的细致分析，受益匪浅！ 5天前 0
mb_ozcmrmsr 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ozcmrmsr 3 楼认真学习 4天前 0
email123 雪币： 21938 活跃值： (7005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 244 粉丝 1 关注私信	email123 4 楼 thanks for share 4天前 0
尺间萤火雪币： 253 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	尺间萤火 5 楼认真学习 4天前 0
自由狼雪币： 2435 活跃值： (3097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 2 关注私信	自由狼 6 楼学习下 4天前 0
wx_Huber Barrientos 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 169 粉丝 1 关注私信	wx_Huber Barrientos 7 楼 666 4天前 0
mb_urzqsoer 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 100 粉丝 0 关注私信	mb_urzqsoer 8 楼 6666666 4天前 0
mb_tuinapal 雪币： 31 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	mb_tuinapal 9 楼感谢你的贡献，论坛因你而更加精彩！ 4天前 0
善翁雪币： 7524 活跃值： (6505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	善翁 10 楼谢谢分享 4天前 0
寞叶雪币： 230 活跃值： (264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	寞叶 11 楼谢谢分享 4天前 0
chengdrgon 雪币： 12962 活跃值： (7297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 155 粉丝 1 关注私信	chengdrgon 12 楼感谢分享，看看隐藏 4天前 0
书生怕怕雪币： 108 活跃值： (1619) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 83 粉丝 1 关注私信	书生怕怕 13 楼感谢你的贡献 3天前 0
dangluan 雪币： 0 活跃值： (4430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dangluan 14 楼 6666666 3天前 0
yuanyouran 雪币： 955 活跃值： (2481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 135 粉丝 0 关注私信	yuanyouran 15 楼感谢分享 3天前 0
jihongwdlp 雪币： 8725 活跃值： (5686) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jihongwdlp 16 楼谢谢大佬的分享，现在还看不明白，在慢慢的学习中 3天前 0
ttstation 雪币： 1113 活跃值： (1026) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	ttstation 17 楼谢谢大佬的分享!! 3天前 0
樂樂雪币： 8706 活跃值： (6876) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 98 粉丝 2 关注私信	樂樂 18 楼感谢大佬分享 3天前 0
啊你好哇123 雪币： 426 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 288 粉丝 0 关注私信	啊你好哇123 19 楼，学习学习 3天前 0
mb_rqlksylg 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	mb_rqlksylg 20 楼 good 3天前 0
空处雪币： 11489 活跃值： (7375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 2 关注私信	空处 21 楼学习了，多谢分享 3天前 0
mb_wdhsjycl 雪币： 185 活跃值： (2351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	mb_wdhsjycl 22 楼学习 2天前 0
Annilans 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Annilans 23 楼 666 2天前 0
拍拖雪币： 2790 活跃值： (6517) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 384 粉丝 14 关注私信	拍拖 2 24 楼感谢分享！ 2天前 0
mb_fzwldzav 雪币： 427 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	mb_fzwldzav 25 楼 mark 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复