首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?
发表于: 2009-7-17 13:39 9321

[求助]请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?

xiaozhaoa 活跃值
2009-7-17 13:39
9321
请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?

这样的反调试技术如何去实现。 当我下断点 的时候他不会出现这个异常。 而是触发的时候 出现的。好像他比 调试器更早的接收到这个调试 消息!

在  一个 系统 API函数 断点以后, 不触发这个断点没问题。 如果触发这个断点 就会出现  “发现 BreakPoint”的 一个 异常错误。  也就是说这个反调试已经发现被下断了

请问各位大侠怎么去实现这样的  反调试技术 ?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (7)
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
2
用内核调试器就不受这个影响了~
2009-7-17 15:04
0
xiaozhaoa
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是的!我使用的 syser 内核模式 断点不受影响。
但是我想了解下他的具体 原理?
能不能麻烦下大侠  指点下
2009-7-17 15:21
0
uvbs
雪    币: 30
活跃值: (750)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
ThreadFromHideDebugger,  搜索下这个
2009-7-17 17:06
0
xiaozhaoa
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
好像不是这个原因HideFromDebugger。 我使用插件 屏蔽了setthreadinformation 。 但是仍然会出现 这种现象
2009-7-17 17:44
0
maikkk
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
最近我也遇到过。呵呵
2009-7-18 19:28
0
uvbs
雪    币: 30
活跃值: (750)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
你如果是ATTACH 进程的话, HideFromDebugger 在被调试程序开始已经被设置过了, 之后再屏蔽了setthreadinformation , 毛用没得
2009-7-19 11:45
0
patriots
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
顶上去,希望大牛们能解决,非常关注此问题
2009-8-10 11:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//