CC断点检测

最新推荐文章于 2023-02-23 20:10:07 发布
最新推荐文章于 2023-02-23 20:10:07 发布
阅读量1.6k 收藏
点赞数

前言

以前看过CC断点的检测原理.
今天做脱壳练习时, 居然看到cm中有一个fnMessageBox函数中进行了CC断点检测.

记录

cm中的实际函数

00FAF476 <fnMessageBoxEx>      55              push    ebp
00FAF477                       8BEC            mov     ebp, esp
00FAF479                       51              push    ecx
00FAF47A                       53              push    ebx
00FAF47B                       56              push    esi
00FAF47C                       57              push    edi
00FAF47D                       60              pushad
00FAF47E                       8B15 7420FE00   mov     edx, dword ptr [FE2074]     ; kernel32.7C8092CA
00FAF484                       83C2 64         add     edx, 64
00FAF487                       FFD2            call    edx                         ; getTickCount, but not used result
00FAF489                       8B15 3020FE00   mov     edx, dword ptr [FE2030]     ; USER32.77D50786
00FAF48F                       83C2 64         add     edx, 64                     ; MessageBox
00FAF492                       B9 05000000     mov     ecx, 5
00FAF497                       803A CC         cmp     byte ptr [edx], 0CC
00FAF49A                       74 10           je      short <L_END>               ; find CC breakpoint
00FAF49C                     ^ E2 F9           loopd   short 00FAF497              ; check cc breakpoint 5 times
00FAF49E <L_CALL_ORG_FN>       FF75 14         push    dword ptr [ebp+14]
00FAF4A1                       FF75 10         push    dword ptr [ebp+10]
00FAF4A4                       FF75 0C         push    dword ptr [ebp+C]
00FAF4A7                       FF75 08         push    dword ptr [ebp+8]
00FAF4AA                       FFD2            call    edx                         ; call org MessageBox
00FAF4AC <L_END>               8945 FC         mov     dword ptr [ebp-4], eax      ; [ebp - 4] is local value iRc
00FAF4AF                       61              popad
00FAF4B0                       8B45 FC         mov     eax, dword ptr [ebp-4]
00FAF4B3                       5F              pop     edi
00FAF4B4                       5E              pop     esi
00FAF4B5                       5B              pop     ebx
00FAF4B6                       C9              leave
00FAF4B7                       C2 1000         retn    10

还原的CC断点检测

// CheckCcBp.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
#include <CONIO.H>

int __stdcall MessageBoxA_ByAntiDebug( IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType);
typedef int (__stdcall * PFN_MessageBoxA)( IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType);

#define API_INDEX_MessageBox 0
#define KEY_dwAryOrgApiAddr 0x64
DWORD g_dwAryOrgApiAddr[1] = {0};

int main(int argc, char* argv[])
{
    HMODULE hDll = NULL;
    PFN_MessageBoxA pfnMessageBox = NULL;

    // 先保存原始api地址, 这里模拟一下, 不要求和cm中相同
    hDll = LoadLibraryA("user32.dll");
    g_dwAryOrgApiAddr[API_INDEX_MessageBox] = (DWORD)GetProcAddress(hDll, "MessageBoxA") - KEY_dwAryOrgApiAddr;

    // MessageBoxA入口被下了CC断点时, 就不执行原始函数
    MessageBoxA_ByAntiDebug(NULL, NULL, NULL, NULL);

    system("pause");
    return 0;
}

int __stdcall MessageBoxA_ByAntiDebug( IN HWND hWnd, IN LPCSTR lpText, IN LPCSTR lpCaption, IN UINT uType)
{
    int iRc = 0;
    DWORD dwFunAddr = g_dwAryOrgApiAddr[API_INDEX_MessageBox] + KEY_dwAryOrgApiAddr; 
    if (0xcc != *(BYTE*)(dwFunAddr)) {
        iRc = ((PFN_MessageBoxA)dwFunAddr)(hWnd, lpText, lpCaption, uType);
    }

    return iRc;
}

/** cm's cc breeakpoint check
00FAF476 <fnMessageBoxEx>      55              push    ebp
00FAF477                       8BEC            mov     ebp, esp
00FAF479                       51              push    ecx
00FAF47A                       53              push    ebx
00FAF47B                       56              push    esi
00FAF47C                       57              push    edi
00FAF47D                       60              pushad
00FAF47E                       8B15 7420FE00   mov     edx, dword ptr [FE2074]     ; kernel32.7C8092CA
00FAF484                       83C2 64         add     edx, 64
00FAF487                       FFD2            call    edx                         ; getTickCount, but not used result
00FAF489                       8B15 3020FE00   mov     edx, dword ptr [FE2030]     ; USER32.77D50786
00FAF48F                       83C2 64         add     edx, 64                     ; MessageBox
00FAF492                       B9 05000000     mov     ecx, 5
00FAF497                       803A CC         cmp     byte ptr [edx], 0CC
00FAF49A                       74 10           je      short <L_END>               ; find CC breakpoint
00FAF49C                     ^ E2 F9           loopd   short 00FAF497              ; check cc breakpoint 5 times
00FAF49E <L_CALL_ORG_FN>       FF75 14         push    dword ptr [ebp+14]
00FAF4A1                       FF75 10         push    dword ptr [ebp+10]
00FAF4A4                       FF75 0C         push    dword ptr [ebp+C]
00FAF4A7                       FF75 08         push    dword ptr [ebp+8]
00FAF4AA                       FFD2            call    edx                         ; call org MessageBox
00FAF4AC <L_END>               8945 FC         mov     dword ptr [ebp-4], eax      ; [ebp - 4] is local value iRc
00FAF4AF                       61              popad
00FAF4B0                       8B45 FC         mov     eax, dword ptr [ebp-4]
00FAF4B3                       5F              pop     edi
00FAF4B4                       5E              pop     esi
00FAF4B5                       5B              pop     ebx
00FAF4B6                       C9              leave
00FAF4B7                       C2 1000         retn    10
*/
LostSpeed
关注
新手向反调试手段,检测自身是否被断点-易语言
06-11
写法很简单,思路也很简单,就是第一次...当设置断点后,对应位置的机器码(第一个字节)会被替换成0XCC(对应的汇编指令为int3)字节变化了那么累加起来的数就会不同,达到了检测断点的效果,新手可以看看,大佬绕道咯
反调试检测函数是否被下断点检测 CC 断点
VI___
05-05 928
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
CC断点介绍
weixin_43046297的博客
03-03 1806
一、 1.F2断点:普通断点CC断点、int3断点 2.为什么叫CC断点呢? 可以通过调试看出来,我们在一个指令上下断点, 例如:je xxxx指令,这个指令机器码是74 01 我们在这里下断点 指令所在内存是0040101A,内存处存放的完整数据是74 01 C3 A1 然后我们将这条指令对应内存地址的内容复制到寄存器内:mov eax [0040101A] 按理说,eax内容应该是A1C3...
检测当前进程是否存在硬件断点
把梦想放飞在蓝色的天空里...
09-18 3107
当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬的方式来间接修改。 以下代码片段为了检测当前进程是否存在硬件断点而写: char buff[MAX_PATH] = {0}; DWORD __stdcall ThreadFunc(void* param) { DWORD dwID = GetCurrentProcessId(); HANDLE hSnap = Creat
int 3断点检测 和调试
weixin_30919429的博客
08-10 467
感谢师叔的科普。 下面代码来源于52pojie。不想自己写,我是懒人。 #include <windows.h> BOOL DetectFuncBreakpoints(); int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, i...
INT3断点和硬件断点
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 5842
INT3断点和硬件断点
CC2530程序下载工具
09-06
4. **错误检测与处理**:在程序下载过程中,工具应能检测并报告可能的错误,如编程错误、芯片识别错误等。 5. **调试功能**:部分下载工具还集成了调试功能,如设置断点、查看寄存器状态、内存读写等,方便开发者...
OD 断点介绍
03-13
这种断点不会改变原有的指令,而是将原指令地址处的指令替换为`int 3`(十六进制表示为`CC`)。一旦断点被触发,程序就会停下来,并且会在断点位置显示原来的指令,以便于调试者了解断点之前的上下文环境。 在实际...
CC2540 寄存器手册
03-11
CC2540具备多种复位机制,包括上电复位、布朗出检测复位和时钟丢失检测复位,确保了系统的稳定性和可靠性。 ### 7. 闪存控制器 闪存控制器负责管理CC2540的非易失性存储空间,支持快速写入和擦除操作。通过DMA或...
API函数断点检测int3.rar
03-13
API函数断点检测int3.rar ============================
反调试方法---0xCC检测--检验API断点实现反调试
YANG12345_6的博客
08-25 1023
反调试 0xCC检测 软件断点的原理:调试器在对应设置断点的位置上修改该地址的字节为0xCC。若是关键位置检测到该指令,可以判进程处于调试状态。 0xCC既可以是INT 3指令,也可以是其他指令的操作数。 API断点 API断点一般下在API的首地址处或函数返回地址处。检查这些易被下端的地址首字节是否为0xCC就可以判程序是否正在被调试 检验代码(以MessageBoxA函数为例): #include <Windows.h> #include<iostream> using na
[系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
杨秀璋的专栏
02-24 6687
作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。
今日看了篇文章,将文中的cc断点检测方法公布在此
look01的专栏
10-28 1282
文章转自http://bbs.pediy.com/showthread.php?p=704890#post704890检测cc断点的代码00401519   $  BF 96124000   MOV EDI,KGM1Tal.00401296                 ;  入口地址0040151E   .  B9 00010000   MOV ECX,100             
OD常用断点CC断点
七夜的博客
05-06 744
  在做Windows平台软件逆向时,Ollydbg是极其常用的逆向工具,动态调试功能非常强大。在调试过程中,断点的使用有助于确定关键的破解位置,今天讲解的内容是OD常用断点中的CC断点CC断点有很多名称,比如普通断点、F2断点或者int3断点,每个名称都有它的来源。下面我们以crackme_01.exe为例子讲解一下如何设置CC断点以及其原理。   打开VM虚拟机,虚拟机中运行的...
OD调试常见断点及原理
王二娃的生活的博客
09-28 9953
OD调试时,常见的断点有int3、硬件断点、内存断点、消息断点、条件断点、条件记录断点等1、int 3断点原理:改变断点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddres
寻找0XCC软件断点
落笔飞花笑百生的博客
04-27 981
 配合反汇编引擎效果出奇; Here is what I see in hacker defense testing 0xCC software breakpoints ;I write it with FASM assembler include 'win32ax.inc' use32 entry start section '.text' code readable exec
函数Int3断点检测
weixin_33985679的博客
11-27 211
00D94F70 55 push ebp 00D94F71 8BEC mov ebp,esp 00D94F73 51 push ecx 00D94F74 53 push ebx 00D94F75 56...
OD各种断点的原理
曲终人散
07-07 3979
(1)int 3断点,即cc断点,这是一种基于软中机制断点,3为中号。OD中,当你在代码区某行按F2即可实现,其机理是把所在代码的第一个字节保存到一张表上,然后将其修改为CC,当程序运行到此代码时,就会产生中,从而转至中服务程序。当你去除断点时,OD会从表里读取出当前断点原来的字节内容。 (2)内存断点,假如你用int 3断点对数据区下,OD会提示你断点可能不会实现,其实也是必然,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值