Debug API 硬件断点实现 补丁程序

最新推荐文章于 2022-01-08 11:22:27 发布
最新推荐文章于 2022-01-08 11:22:27 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 开发语言类 文章标签: Debug API 补丁 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qffhq/article/details/10476253
版权

Debug API 硬件断点实例,两个断点,修改寄存器的值,以及EBP-xx指向的内存数据

#include <windows.h>
#include <stdio.h>
#include <tchar.h>

HINSTANCE    GhInstance;
STARTUPINFO    gstStartUp;
PROCESS_INFORMATION  gpsInfo;
DEBUG_EVENT    gDBEvent;
CONTEXT      gContext; 

BYTE      ebpxx1[2]={0xD,0x00}; 
BYTE      ebpxx2[2]={0x16,0x00}; 

unsigned long    MyEip1=0x00xxxx2;// 
unsigned long    MyEip2=0x00xxxx1; //0x00xxx;


TCHAR szExe[] = _T("xxxxxx.exe");    // 目标文件名 Path.dat

long    LastErrorCode;
char    LpErrorText[40];
char    LpDesCripeText[2048];

bool    WhileDoFlag;
int		LoaderBkFlag;

int  APIENTRY WinMain(HINSTANCE hInstance,
          HINSTANCE hPrevInstance,
          LPSTR     lpCmdLine,
          int       nCmdShow)

{  
	GhInstance=hInstance;
	SetLastError(0);

	GetStartupInfo(&gstStartUp);

	if (CreateProcess(szExe,NULL,NULL,NULL,FALSE,DEBUG_ONLY_THIS_PROCESS,0,0,&gstStartUp,&gpsInfo)==0)
	{
		LastErrorCode=GetLastError();
		wsprintfA(LpErrorText,"创建进程失败,检查目标程序是否存在ErrorCode=%2d",LastErrorCode);
		  
		MessageBoxA(NULL,LpErrorText,"",MB_ICONERROR);
		return 0;

	}
	LoaderBkFlag=-1;
	WhileDoFlag=true;
	SetLastError(0);
  
	while(WhileDoFlag)//调试循环
	{

		WaitForDebugEvent(&gDBEvent,INFINITE);
		gContext.ContextFlags=CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
		GetThreadContext(gpsInfo.hThread,&gContext);
		LastErrorCode=GetLastError();
    
		switch(gDBEvent.dwDebugEventCode) 
		{
			case EXCEPTION_DEBUG_EVENT://1debug 事件
				if (gDBEvent.u.Exception.ExceptionRecord.ExceptionCode==EXCEPTION_BREAKPOINT)//断点
				{

					//ContinueDebugEvent(gDBEvent.dwProcessId,gDBEvent.dwThreadId, DBG_CONTINUE);
					//ContinueDebugEvent(gDBEvent.dwProcessId,gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
					//
				}          
				else if (gDBEvent.u.Exception.ExceptionRecord.ExceptionCode==EXCEPTION_SINGLE_STEP)
				{
					gContext.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
					GetThreadContext(gpsInfo.hThread,&gContext);	          
					if (LoaderBkFlag==1 && gContext.Eip==MyEip1)
					{
						//MessageBoxA(0,"找到myEip1","找到",MB_OK);
					
						//gContext.EFlags =  gContext.EFlags | 0x40; //ZF //gContext.EFlags =  gContext.EFlags | 0x100 | 0x40; //ZF
						gContext.Eip = 0x00xxxx8;
						gContext.Ecx = 0x1;
						gContext.Edx = 0x2;
						gContext.Dr0 = MyEip2;
						gContext.Dr7 = 0x101;     

						SetThreadContext(gpsInfo.hThread,&gContext);
						LoaderBkFlag++;
						ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_CONTINUE);
						break;
					}
					else if (LoaderBkFlag==2 && gContext.Eip==MyEip2)
					{
						//MessageBoxA(0,"找到myEip2","找到",MB_OK);
						//gContext.EFlags =  gContext.EFlags | 0x40; //ZF

						WriteProcessMemory(gpsInfo.hProcess,(void *) (gContext.Ebp-0x1),&ebpxx1,2,0);//修补 
						WriteProcessMemory(gpsInfo.hProcess,(void *) (gContext.Ebp-0x2),&ebpxx2,2,0);//修补 
						gContext.Dr0 = 0;  // 清除硬件断点
						gContext.Dr7 =  0; //  清除硬件断点           
						SetThreadContext(gpsInfo.hThread,&gContext);
						LoaderBkFlag++;
						ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_CONTINUE);
					
						WhileDoFlag =false; //完成补丁退出循环
						break;
					}					
				}

				if(gDBEvent.u.Exception.ExceptionRecord.ExceptionCode==EXCEPTION_BREAKPOINT)
				{
					ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_CONTINUE);
				}
				else
				{
					if (LoaderBkFlag==0)//第一次设置断点
					{
						gContext.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;

						GetThreadContext(gpsInfo.hThread,&gContext);
						gContext.Dr0=MyEip1;
						gContext.Dr7=0x101; //必须的,标记位
			            
						SetThreadContext(gpsInfo.hThread,&gContext);
						LoaderBkFlag++;
					}
					ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				}	
				break;
			case CREATE_THREAD_DEBUG_EVENT://2
				//gContext.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
				//gpsInfo.hThread=gDBEvent.u.CreateThread.hThread;
				//GetThreadContext(gpsInfo.hThread,&gContext);
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case CREATE_PROCESS_DEBUG_EVENT://创建进程事件3
				LoaderBkFlag = 0;       
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case EXIT_THREAD_DEBUG_EVENT:    //4.        
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case EXIT_PROCESS_DEBUG_EVENT:    //5.退出事件
				WhileDoFlag=false;
				break;
			case LOAD_DLL_DEBUG_EVENT:    //6.
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case UNLOAD_DLL_DEBUG_EVENT:    //7.       
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case OUTPUT_DEBUG_STRING_EVENT:    //8.
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			case RIP_EVENT:        //9.
				ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
				break;
			default:
				//MessageBoxA(0,"default处理 异常","调试程序",MB_OK);
				 ContinueDebugEvent(gDBEvent.dwProcessId, gDBEvent.dwThreadId, DBG_EXCEPTION_NOT_HANDLED);
		}//endswitch
    
    }//.end while
    /*
    #define EXCEPTION_DEBUG_EVENT       1
    #define CREATE_THREAD_DEBUG_EVENT   2
    #define CREATE_PROCESS_DEBUG_EVENT  3
    #define EXIT_THREAD_DEBUG_EVENT     4
    #define EXIT_PROCESS_DEBUG_EVENT    5
    #define LOAD_DLL_DEBUG_EVENT        6
    #define UNLOAD_DLL_DEBUG_EVENT      7
    #define OUTPUT_DEBUG_STRING_EVENT   8
    #define RIP_EVENT                   9  
     */

    DebugSetProcessKillOnExit(FALSE); //退出补丁程序时保持目标进程继续运行!!!

    CloseHandle(gpsInfo.hProcess);   
    CloseHandle(gpsInfo.hThread);   

    return 0; //Winmain Return
}

在实际测试时发现程序异常比较多,选择合适的情况进行第一个断点很重要,参考 http://www.cnblogs.com/zplutor/archive/2011/03/08/1977702.htmlj中的Demo MiniDebugger3.rar进行分析以确定合适的断点代码位置。


qffhq
关注
专栏目录
win32 调试 API 学习总结
bcbobo21cn的专栏
04-08 951
Win32调试API原理 来自《软件技术加密内幕》和chm版本不太一样  在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试程序进行任意的
windbg调试断点学习总结2
热门推荐
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
PSPLink 硬件断点+APIHOOK显示 (Bins)
12-06
PSPLink 硬件断点+APIHOOK显示 (Bins) 作者为TPU 经其同意,先分享给大家
debug api
weixin_34007906的博客
08-24 127
看雪《加密解密》18.2 内存补丁\18.2.3 利用调试寄存器机制\1.利用Single Step机制 的源码老强大了,要好好学习。 它可以对加壳软件的任意地址做任意动作。 缺点: 我的360会对执行程序报警——远程线程注入。 杂项: "++"是C和C++里的自增运算符. 例: ++i,i++; ++i是使用i之前先使i加一. i++是使用i之后再加一 转载于:https:...
硬件断点的原理 ---- OD各种断点的原理
wowolook的专栏
05-27 1万+
1.前言       在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了前辈们的文章以后,终于明白了一些东西。希望这篇文章能让你对硬件断点的原理和使用有一些帮助 2.正文 ------------------------------------------
加密与解密(第四版)第9章 win32调试API
冰糖葫芦的夏天的博客
12-10 327
调试相关函数 ContinueDebugEvent:允许调试器恢复先前由于调试事件而挂起的线程 DebugActiveProcess:允许调试器捆绑到一个正在允许的进程上 DebugActiveProcessStop:允许调试器从一个正在运行的进程上卸载 DebugBreak:在当前进程中产生一个断点异常,如果进程未处于调试状态,异常将被系统阶段,多数情况下会直接终止进程 DebugBreakProcess:在指定的进程中产生一个断点异常 FatalExit:将使调用进程强制退出,将控制权转交给
逆向工程核心原理读书笔记-API钩取之记事本小写转大写
liujiayu2的专栏
06-09 782
我们通过一个示例来练习钩取Notepad.exe的WriteFile,保存文件时将小写字母全部转换为大写字母。下面我们先测试一下代码。 运行notepad.exe并查看PID。 在命令行窗口中输入命令与参数。 输入一串小写字母之后选择保存。 再次打开文件,之前的小写字母全部变成了大写字母。 我们来分析一下源代码,看看
main109.rar_补丁
最新发布
09-21
在这个"main109.rar_补丁"压缩包中,我们看到涉及到的是使用DEBUG API进行调试机制来创建补丁的过程。下面我们将深入探讨这个主题。 首先,DEBUG API是Windows操作系统提供的一组函数,它们允许程序员对运行中的...
文件补丁(一)-入门篇
weixin_44653197的博客
03-13 1429
## 环境:win10 ## 工具:vs2017、PE Tool、Ollydbg、UltralEdit ## 参考:加密与解密(第四版)
逆向实战 2#去除程序注册、正版校验,绕过联网校验
weixin_48066554的博客
01-08 5057
逆向实战 2#去除程序注册、正版校验,绕过联网校验 文章目录逆向实战 2#去除程序注册、正版校验,绕过联网校验环境 & 工具去除注册行为分析过程分析效果检验去除联网校验行为分析过程分析效果检验去除完整性(正版)校验行为分析过程分析效果分析 慢慢难起来了,直接猛男落泪 在国家包吃包住的路上又艰难迈进一小步【doge】 省流助手:啰嗦至极菜鸡学习笔记,多图警告 环境 & 工具 win xp 32位 吾爱破解版ollydbg 去除注册 行为分析 首先拖进PEiD查壳,发现未加壳 点击注册,出
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
D3D8通用游戏劫持,之前在做DNF的时候需要调试一些地址异常,就弄了一个劫持去调试,现在没用了,具体有需要的自己去改,硬件断点调试异常可以过CRC校验哦..,有时间整理一个易语言的版本..
运行到指定EIP处, 打内存补丁
谢绝(无视)留言与私信
02-03 801
前言运行到指定EIP处, 打内存补丁, 对加壳的程序有用. 自己写了一个测试程序, 运行到指定位置, 打内存补丁成功. 一会找个带壳的实际程序试试.记录目标为自己的测试程序// PePatchByLoader.cpp : Defines the entry point for the console application. // auto patch/** * 用调试方式运行Crea
处理关键的调试事件
乱七八糟の中转站
08-30 593
EXCEPTION_DEBUG_EVENT调试事件是调试器和debugee交互的重要手段,通过处理EXCEPTION_DEBUG_EVENT调试事件可以完成常规的断点、单步执行等操作。
结束进程的12种方法
diaowei9599的博客
01-07 1365
方法一针对有窗口的 消息攻击法 void main(int argc, char **argv) { HWND hwnd = FindWindow(NULL, "Title"); SendMessage(hwnd,WM_CLOSE,0,0); HWND hwnd = FindWindow(NULL, "Title"); SendNotifyMessage(hwn...
一段基本的X86调试程序
Home Of HappyBear
01-10 1133
Microsoft提供了一种用于Windows的相对比较容易使用的调试API。这种API允许使用简单的循环,从处于用户态的程序访问调试事件。下面是一个简单的结构: DEBUG_EVENT dbg_evt;m_hProcess = OpenProcess( PROCESS_ALL_ACCESS | PROCESS_VM_OPERATION,0,mPID);if(m_hProcess == NULL)
django-debug-tools 使用
orangleliu 笔记本
05-27 5127
用django开发很快也很容易,但是很多时候我们的经验并不是很足,就会给自己挖下很多坑,不管是性能问题,还是开发语言使用技巧问题都会给应用的稳定带来危害, 开发之后的调试和调优就显得很重要,今天就尝试使用django-debug-toolbar来给我们的开发增加更多的调试和监控。之前只是听说过,没有具体应用过。 我这里是python1.6。 1.7的配置有点小改动,具体看文档。安装使用pip安装p
OD硬件断点,OD内存断点API断点
icefoxy的专栏
12-01 9139
一.【设置硬件写入断点】<br />9 i0 B( m; A8 {HW 968A34+ X+ ^: [. R# a<br />命令"HW "的全称是 Hardware Write ,Hardware 是硬件的意思,Write是写入硬件的意思,968A34是某游戏 的内存地址<br />' h: h4 i! p% /) }) /8 w8 u--------------------------------------<br />! /: F; Q) q" R- w0 s, k9 H! {0 c/ w) T
Win32调试API原理
hackwaly的专栏
03-26 4280
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试程序进行任意的修改,包括进程的内存、线程的
如何对抗硬件断点之一
井底之蛙
05-22 3020
原文出处:http://www.popbase.net/bbs/dispbbs.asp?boardID=5&ID=2377&page=1如何对抗硬件断点之一 --- 调试寄存器Author:LenusFrom: www.popbase.netE-mail:Lenus_M@163.com--------------------------------------------------1.前言   
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值