页面异常反dump 及 内存访问异常hook

最新推荐文章于 2023-08-19 21:19:56 发布
最新推荐文章于 2023-08-19 21:19:56 发布
阅读量2.3k 收藏
点赞数
分类专栏: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/45063285
版权

第七章:应用层保护
加密,加壳,反调试,混淆。。。
静态保护:去静态特征,去字符串,全局指针等。
动态保护:
在dump模块的方法中,一般会调用ReadProcessMemory来读取,可以修改PE结构中可选头中的ImageOfSize,还有抹去PE头的方法干扰,但对指定基址和大小就无效。
修改页面访问属性为PAGE_NO_ACCESS可以反dump.

修改代码方式的HOOK很难绕过代码检验;硬件断点触发的异常可能被GetThreadContext函数获取硬件断点的设置检测出来,而且硬件断点只有4个。
内存页面访问异常更具隐藏性,但存在因代码页频繁访问而影响原始程序性能问题。

//测试EXE
#include <stdio.h>
#include <Windows.h>
#include <vector>
#include <TlHelp32.h>

void EnumModule() 
{
	// TODO: Add your control notification handler code here
		char szBuffer[256*100] = "";
	char szModuFile[240] = "";
	char szTmpBuffer[256] = "";


		MODULEENTRY32 moudle;
		HANDLE handle = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);
		if (handle == INVALID_HANDLE_VALUE)
		{
			printf("枚举模块失败!");
			return;
		}
	    int i = 1;
		if ( Module32First(handle,&moudle))
		{ 
			do
			{
				sprintf(szModuFile,"[%d]Address: 0x%x, Name: %s \r\n", i, moudle.modBaseAddr, moudle.szModule);
				strcat(szBuffer,szModuFile);
				i++;
			}while(Module32Next(handle,&moudle));
		}
		CloseHandle(handle);

	printf(szBuffer);
}

void main()
{
#if 1
	MessageBox(NULL,"the fact infor111","test SEH hook",MB_OK);  
	::LoadLibraryA("WaiGua.dll");
	char buf[] = "the fact infor111";
	MessageBox(NULL,buf,"test SEH hook",MB_OK); 
#else	//测试反dump
	EnumModule();
	::LoadLibraryA("WaiGua.dll");
	EnumModule();
	printf("second enum end.\n"); 
#endif
	getchar();
}


 

//hook.dll
// VEHHook.cpp : Defines the entry point for the DLL application.
//
#include <Windows.h>
#include <TlHelp32.h>
#include <stdio.h>
#include <limits.h>
#include <Winbase.h>

 typedef LONG  (WINAPI *PVECTOREDEXCEPTIONHANDLER)(PEXCEPTION_POINTERS ExceptionInfo);

typedef PVOID (WINAPI *ADDVECTOREEXCEPTIONHANDLER)(
    ULONG FirstHandler,
    PVECTOREDEXCEPTIONHANDLER VectoredHandler
);
ADDVECTOREEXCEPTIONHANDLER g_AddVectorExceptionHandler = NULL;

DWORD func_addr = 0x00401000;
DWORD func_addr_offset = func_addr + 0x2;
DWORD g_dwOldProtect = 0;

void PrintParameters(PCONTEXT debug_context) 
{
    printf("EAX: %X EBX: %X ECX: %X EDX: %X\n",
        debug_context->Eax, debug_context->Ebx, debug_context->Ecx, debug_context->Edx);

    printf("ESP: %X EBP: %X\n",
        debug_context->Esp, debug_context->Ebp);

    printf("ESI: %X EDI: %X\n",
        debug_context->Esi, debug_context->Edi);

    printf("Parameters\n"
        "HWND: %X\n"
        "text: %s\n"
        "caption: %s\n",
        (HWND)(*(DWORD*)(debug_context->Esp + 0x4)),
        (char*)(*(DWORD*)(debug_context->Esp + 0x8)),
        (char*)(*(DWORD*)(debug_context->Esp + 0xC)));
    
}

void ChangeText(PCONTEXT debug_context) {
    char* text = (char*)(*(DWORD*)(debug_context->Esp + 0x8));
    int length = strlen(text);
	DWORD oldprotect = 0;
    _snprintf(text, length, "Be Hooked!");
}

void __declspec(naked) ReturnOriginalFunc(void) {
    __asm {
        mov edi,edi
        jmp [func_addr_offset]
    }
}

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS ExceptionInfo) {
    if(ExceptionInfo->ExceptionRecord->ExceptionCode != EXCEPTION_SINGLE_STEP &&
		ExceptionInfo->ExceptionRecord->ExceptionCode != STATUS_ACCESS_VIOLATION)
	{
		return EXCEPTION_CONTINUE_SEARCH;
	}
	
	if((DWORD)ExceptionInfo->ExceptionRecord->ExceptionAddress == func_addr) {
        PCONTEXT debug_context = ExceptionInfo->ContextRecord;
        printf("Breakpoint hit!\n");
        PrintParameters(debug_context);
        ChangeText(debug_context);
        debug_context->Eip = (DWORD)&ReturnOriginalFunc;
		DWORD dwOldProtect = 0;
		VirtualProtect( (LPVOID)func_addr, 1024,PAGE_EXECUTE_READWRITE,&dwOldProtect);
    }
    return EXCEPTION_CONTINUE_EXECUTION;
}

DWORD ChangeDataSectionPageProtectAttr(DWORD dwProtect)
{
	DWORD dwOldProtect = 0;
	MEMORY_BASIC_INFORMATION mbi = { 0 };
	__try{
		VirtualQuery(ChangeDataSectionPageProtectAttr,&mbi,sizeof(mbi));
		//VirtualProtect( (LPVOID)((PBYTE)mbi.BaseAddress + mbi.RegionSize), 1024,dwProtect,&dwOldProtect);
		VirtualProtect( (LPVOID)ChangeDataSectionPageProtectAttr, 4,dwProtect,&dwOldProtect);
	}
	__except(EXCEPTION_CONTINUE_EXECUTION)
	{
		printf("ChangeDataSectionPageProtectAttr failed.\n"); 
	}
	return dwOldProtect;
}

DWORD MemPageHook(DWORD dwNewFuncAddr)
{
	g_AddVectorExceptionHandler(1, ExceptionFilter);
	DWORD dwOldProtect = 0;
	VirtualProtect( (LPVOID)func_addr, 4,PAGE_NOACCESS,&dwOldProtect);
	return dwOldProtect;
}

int APIENTRY DllMain(HMODULE hModule, DWORD reason, LPVOID reserved) 
{
    if(reason == DLL_PROCESS_ATTACH) 
	{
#if 1
        DisableThreadLibraryCalls(hModule);
        if(AllocConsole()) 
		{
            freopen("CONOUT$", "w", stdout);
            SetConsoleTitle("Console");
            SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE), FOREGROUND_RED | FOREGROUND_GREEN | FOREGROUND_BLUE);
            printf("DLL loaded.\n");
        }

		func_addr = (DWORD)GetProcAddress(GetModuleHandle("user32.dll"), "MessageBoxA");
		func_addr_offset = func_addr+2;
		printf("MessageBoxA Addr: 0x%x\n",func_addr);
		g_AddVectorExceptionHandler = (ADDVECTOREEXCEPTIONHANDLER)GetProcAddress(GetModuleHandle("kernel32.dll"), "AddVectoredExceptionHandler");
		g_dwOldProtect = MemPageHook(func_addr);
        
#else//测试反dump
	ChangeDataSectionPageProtectAttr(PAGE_NOACCESS);	
#endif
    }
    return TRUE;
}


 

pomelozero
关注
专栏目录
C++软件开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
10-31 2万+
C++软件开发值得推荐的十大高效软件分析工具
C++开发值得推荐的十大高效软件分析工具
最新发布
dvlinker的技术专栏
06-16 1万+
本文详细讲述在Windows C++软件的日常开发和维护的过程中用到的一些常用工具,借助这些工具,可以高效快速地分析和排查软件开发调试过程中遇到的各种问题。
TenRpcs—hook(过异常检测三方非法)_过保护_过异常检测三方非法_异常检测_
10-01
游戏保护机制研究,过异常检测三方非法。。
17_页面异常接管
leibso的博客
10-22 234
页面异常捕获过滤: 原理: 在 IDT 表中的e 号 处理 是 页面异常处理; 如果 我们 hook 掉 这个回调函数;那么就能获得全部的页面异常;再通过 cr3 对比 捕获指定的 cr3 (进程)的信息;最后再共享的区域将数据输出;然后测试程序获取该自己的页面异常信息; 实验中 容易出现的错误: 在 c 的时候注意将使用的寄存器(这里是eax)先保存起来;注意 通过栈保存 eax...
android 异常hook
weixin_34253126的博客
05-02 340
转载于:https://blog.51cto.com/haidragon/2388323
页表HOOK
sanqiuai的博客
10-07 1443
hook一个内核函数,不修改API对应的物理页,而是把与API相关的物理页拷贝一份(PTE,PDE,PPE,PXE四个页),然后修改目标进程的页表映射到拷贝的物理页,使目标进程对此API的操作与其他进程分离,让对此API的hook不会影响到其他进程 结构体 enum { PhyPage, PT, PDT, PPT, PXT, }; typedef struct _PAGE_INFO { UINT64 PteBase;//页表基址 UINT32 PXE
【Windows系统编程】08.异常处理与异常Hook(软件断点Hook,硬件断点Hook
WdIg-2023的博客
08-19 752
异常处理,断点寄存器讲解,软件断点Hook,硬件断点Hook
Go程序内存泄露问题快速定位
j简说Linux的博客
11-16 2759
使用 gcore 转储整个进程,原理类似,gcore 会在转储完后立即 detach 进程,比手动 dump 速度快,对 traced 进程的影响时间短,但是转储文件一般比较大(记得 ulimit -c 设置下),core 文件使用 hexdump 分析的时候也可以选择性跳过一些字节,以分析感兴趣的可疑内存区。或者,是有连续的大内存区块,也是待分析的可疑对象,或者这样的内存区块数量比较多,也应该作为可疑的分析对象。不管如何发现的,明确存在这一问题之后,就需要及时选择合适的方法定位到问题的根源,并及时修复。
【腾讯TMQ】win32应用程序性能测试-内存
TMQ1225的博客
01-04 1727
本文主要讲述windows平台下应用程序性能测试的内存相关的知识,通过本文了解内存基本原理和分析内存占用问题。一、内存是什么?1.内存分为物理内存和虚拟内存物理内存指通过物理内存条而获得的内存空间,虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存(一个连续完整的地址空间)。2.两者都有系统约定的最大值进程占用的内存一般是指物理内存,其中操作系统为每个进程的工作集定义了
KVM虚拟化之小型虚拟机kvmtool的使用
tugouxp的专栏
01-27 2282
分配给虚拟机大于4GB的RAM需要在RAM中留下一个GAP,用于PCI MMIO、热插拔和未配置的设备(详细信息请参阅e820_setup_gap())。
HOOK异常处理.rar
04-05
HOOK异常处理.rar
page-toggle-hook:适用于 vue.js 侦听页面切换的辅助插件
05-25
page-toggle-hook 适用于 vue.js 侦听页面切换的辅助插件。 安装 import npm i page-toggle-hook -S use import Vue from 'vue' import pageToggleHook from 'page-toggle-hook' Vue.use(pageToggleHook, { env: 'h5' }) options name type require default desc env String false 'h5' 使用的环境,可选值: h5、miniapp ,后续有需求会支持快应用 使用 只在页面级组件中生效 vue <template> <div></div> </template> [removed] export default { onShow() { // 页面显示时触发
易语言HOOK异常处理源码-易语言
06-13
易语言HOOK异常处理源码
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
Hook线程和捕获线程执行异常
wyaoyao93的博客
04-03 301
文章目录1 获取线程运行时异常1.1 UncaughtExceptionHandler接口介绍和实现1.1.1 UncaughtExceptionHandler接口介绍1.1.2 UncaughtExceptionHandler接口示例1.1.3 UncaughtExceptionHandler源码分析2 注入钩子线程2.1 Hook线程介绍2.2 Hook线程实战2.3 Hook线程应用场景以及注意事项 1 获取线程运行时异常 在Thread类中:,关于处理运行时异常的API总共有四个: /** 为某个特
线程一1.0 线程 获取线程的运行时异常Hook线程
insis_mo的博客
03-19 263
下图: 线程在执行单元中是不允许抛出checked异常的,,而且线程运行在自己的上下文中,派生他的线程将无法直接获得它运行中出现的异常信息,对此Java给我们提供了一个uncaughtexceptionHandler接口,当线程在运行过程中出现异常时,就会回调UncaughtExceptionHandler接口,从而得知那个线程在运行中出错,以及出现了什么样的错误,如下 public st...
Hook线程以及捕获线程执行异常
半夏_2021的博客
08-31 390
文章目录获取线程运行时异常注入钩子线程Hook线程实战Hook线程使用应用场景 获取线程运行时异常 在Thread类中,关于处理运行时异常API总共有四个 setUncaughtExceptionHandler(UncaughtExceptionHandler eh) :为某个特定线程指定UncaughtExceptionHandler setDefaultUncaughtExceptionHandler(UncaughtExceptionHandler eh) : 设置全局的UncaughtExce
捕获线程异常Hook线程
pys52055的博客
07-16 192
捕获线程运行时异常API void setUncaughtExceptionHandler(UncaughtExceptionHandler eh) 为某个线程指定uncaughtExceptionHandler static void setDefaultUncaughtExceptionHandler(UncaughtExceptionHandler eh) 设置全局的uncaughtExceptionHandler static UncaughtExceptionHandler getDefaultU
利用page hook对密匙进行保存和访问控制
xyooyy的专栏
12-13 831
记得去年看到过一篇文章 是关于page hook 来对关键数据和执行代码进行访问控制 ,用来实现躲避内存扫描,原理简单如下,首先利用hook idt表,对页出错处理进行监控,对于页交换在这里进行控制, 首先进行对页的读/写/执行访问控制在页错误处理程序中, 可以使用保存过的指令指针(IP)和错误处理地址. 如果指令指针和错误处理地址相同, 那么这就是一个执行访问.否则,这是一个读/写访问. 当
Windows异常分析:.NET环境下的Dump文件解析
书中涵盖了从基础工具的安装到各种复杂问题的解决方法,如CPU尖峰、死锁、异常内存泄漏等,并提供了从Dump文件中提取关键信息的具体步骤,如连接字符串。" 在Windows操作系统中,当遇到异常问题时,Dump分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值