首页
社区
课程
招聘
[求助]请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?
发表于: 2009-7-17 13:39 9320

[求助]请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?

2009-7-17 13:39
9320
请问一些壳反调试中的 EXCEPTION_BREAKPOINT(0x80000003)原理是什么?

这样的反调试技术如何去实现。 当我下断点 的时候他不会出现这个异常。 而是触发的时候 出现的。好像他比 调试器更早的接收到这个调试 消息!

在  一个 系统 API函数 断点以后, 不触发这个断点没问题。 如果触发这个断点 就会出现  “发现 BreakPoint”的 一个 异常错误。  也就是说这个反调试已经发现被下断了

请问各位大侠怎么去实现这样的  反调试技术 ?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
2
用内核调试器就不受这个影响了~
2009-7-17 15:04
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
是的!我使用的 syser 内核模式 断点不受影响。
但是我想了解下他的具体 原理?
能不能麻烦下大侠  指点下
2009-7-17 15:21
0
雪    币: 30
活跃值: (750)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
ThreadFromHideDebugger,  搜索下这个
2009-7-17 17:06
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好像不是这个原因HideFromDebugger。 我使用插件 屏蔽了setthreadinformation 。 但是仍然会出现 这种现象
2009-7-17 17:44
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最近我也遇到过。呵呵
2009-7-18 19:28
0
雪    币: 30
活跃值: (750)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
你如果是ATTACH 进程的话, HideFromDebugger 在被调试程序开始已经被设置过了, 之后再屏蔽了setthreadinformation , 毛用没得
2009-7-19 11:45
0
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
顶上去,希望大牛们能解决,非常关注此问题
2009-8-10 11:03
0
游客
登录 | 注册 方可回帖
返回
//