《脱壳艺术》学习笔记2--SEH检测调试器

最新推荐文章于 2022-02-25 17:21:50 发布
最新推荐文章于 2022-02-25 17:21:50 发布
阅读量1.9k 收藏
点赞数
分类专栏: 汇编代码--逆向工程 文章标签: 汇编 exception vc++ c++ null 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Dream_/article/details/2060407
版权
 
《脱壳艺术》学习笔记 2
时间: 2008 2 22 星期五, 10 5 35
 
SEH 检测调试器
 
新建 vc++ Console 项目 , 编写下面代码测试 :
int main()
{
 bool bIsInDebugger = true ;
 
 try{
   // 非法内存访问 , 会引发异常    
   int *p = NULL;
   *p = 0;
 }catch(...)
 {
    // 对异常进行处理
    // 如果应用程序接管异常 , 我们认为当前程序没有被调试
    bIsInDebugger = false ;
 }
 
 if ( bIsInDebugger == true )
 {
    exit();
 }else
 {
    cout<<"Hello World"<<endl;  
 }
 
 return 0;
}
 
检测调试器的原理是 :
当被调试进程出现异常时,该异常通常被调试器接管。这样应用程序自己设置的异常处理函数就得不到执行。我们可以利用这一点在异常处理例程中设置标志变量达到检测的目的。
 
实际调试过程中发现 : try 语句中给 0x00000000 地址赋值的操作导致内存访问违规 , 应用程序弹出下面窗口

连续试了几次都是这样, 可能没有执行SEH处理? 分析反汇编代码没有发现什么特别的地方.

回想以前用VC 6.0 的时候,异常处理可以捕获这个异常并很好的处理.

思考了一会,我觉得可能和项目属性设置有关,

查看了 [配置属性]-->[C/C++]-->代码生成-->启用C++异常中的设置  这里的设置为"", 更改为",但有SEH异常"

再次调试上面代码运行 OK.

 

实际加壳部分的 SEH 是用汇编写的:

分析 《脱壳艺术》中的代码

//----------设置异常处理----------

// 异常处理函数地址

push     .exeception_handler

// 指向先前SEH结构体的地址, 现在它作为下一个异常处理函数

push     dword [fs:0]                

//使 fs:[0]指向刚添加SEH结构地址,当出现异常时 exeception_handler 首先得到处理

mov           [fs:0],esp

      

;reset flag(EAX) invoke int 3

xor       eax,eax // 设置初始标志

int 3             // 引发异常

 

;restore exception handler

pop       dword [fs:0]

add       esp,4

 

; check if the flag had been set

test     eax,eax

je        .debugger_found

:::

// 异常处理函数

.exeception_handler:

;EAX = ContextRecord

mov       eax,[esp+0xc]

;set flag (ContextRecord.EAX)

mov       dword [eax+0xb0],0xffffffff

;set ContextRecord.EIP

inc       dword [eax+0xb8]

xor       eax,eax

 retn

 

push    .exeception_handler

push    dword [fs:0]

mov         [fs:0],esp

3 条汇编语句可以用下面结构图表示.

                                             简单的 SEH

 
Blue_Dream_
关注
专栏目录
Windows 中 FS 段寄存器
weixin_34408717的博客
11-06 487
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
脱壳基础知识入门和提高-----第二课 SEH技术
www.pingfi.com
02-07 1256
结构化异常处理(Structured Exception Handling,SEH)是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制,与特定的程序设计语言无关。   外壳程序里大量地使用了SEH,如果不了解SEH,将会使你跟踪十分困难。  SEH in ASM 研究(一)by hume     SEH in ASM 研究(二)by hume     S
关于SEH
lgz028的专栏
03-10 230
SEH包括结束处理,异常处理两方面。不是OS级别,而是编译器级别的异常处理。结束处理:1.在__try块中有过早退出的代码,包括continue,break,return等的时候,会调用__finally块中代码,再返回之前的处理。2.正常情况下,也会执行__finally块中的代码。防止错误展开,会造成视处理器不定而不定的系统开销,降低程序的性能
深入理解SEH
For Geek
05-08 2011
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH链最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
SEH反调试的实现与调试
热门推荐
小驹的专栏
05-16 1万+
SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
x86-64-13.2.0-release-posix-seh-rev1.7z
最新发布
05-21
标题 "x86-64-13.2.0-release-posix-seh-rev1.7z" 暗示这是一个针对x86_64架构的软件编译环境,其中包含了 Mingw64、GCC 和 G++ 的组件。这个压缩包很可能是用于在Windows操作系统上构建64位应用程序的工具集。让...
x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2
02-25
标题 "x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2" 指的是一个针对x86_64架构的GCC编译器版本,该版本是12.2.0,定位为“release”发布版,具有POSIX线程(pthread)支持,使用SEH(结构化异常处理)机制...
x86-64-posix-seh和MinGW-W64-install.exe
08-17
在压缩包文件中,"x86_64-8.1.0-release-posix-seh-rt_v6-rev0.7z"是MinGW-W64的一个特定版本,其中包含了GCC 8.1.0版本,以及对应于x86-64-posix-seh异常处理模型的运行时库。"mingw-w64-install.exe"则是一个安装...
x86_64-13.2.0-release-posix-seh-msvcrt-rt_v11-rev1.7z
12-14
标题 "x86_64-13.2.0-release-posix-seh-msvcrt-rt_v11-rev1.7z" 暗示这是一个针对 x86_64 架构的 MingW (Minimalist GNU for Windows) 发行版,版本号为 13.2.0,并且是 release 版本。"posix-seh" 表明它支持 ...
x86_64-13.2.0-release-posix-seh-ucrt-rt_v11-rev1.7z
12-14
标题 "x86_64-13.2.0-release-posix-seh-ucrt-rt_v11-rev1.7z" 暗示这是一个针对x86_64架构的编译工具链的打包文件,主要用于Windows平台。这种工具链通常包括编译器、链接器以及其他构建C++应用程序所需的组件。...
SEH及逆向调试
Starr
10-10 2849
SEH 文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...
异常与调试之SEH、UEH、VEH、VCH以及SEH的区别总结——简单好理解
TCP_321的博客
12-08 6540
1.VEH (向量异常) // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可 // 以使用这个函数,是第一个处理异常的函数。 异常处理函数: LONG NTAPI AddVectoredExceptionHandler( _In_UlON First, 异常处理函数被调用的顺序 _In_PVECTORED_EXECUTE_HANDLER Handler 异常处理回调函数 ) AddVectoredExceptionHandler(TRUE...
[原创]windows-SEH详解
whl0071的专栏
02-25 4052
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEH是windows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
Win32结构化异常处理(SEH)——终止处理程序(__try/__finally)
mm350670610的专栏
04-29 2220
环境:VC++6.0, Windows XP SP3        当我们想编写一个健壮的程序时,我们会用到异常处理,对各种异常进行考虑并进行处理。现在在各种语言都有自己的异常处理机制,比如C++的try, catch, throw,JAVA也一样。不过它们的实现都要基于OS。        Microsoft为了使系统程序和应用程序更加健壮,把异常处理加入了Windows。这里的
调试与异常--手工注册SEH
CMC_HHM的博客
05-01 944
SEH (Structed Exception Handler,结构化异常处理)手工注册SEH的前提是知道SEH异常处理函数的原型。配置好双机调试环境,在WINDBG中输入 dt _TEB -b ,就可以查看TEB(Thread Environment Block 线程环境块)结构。kd&gt; dt _TEB -b ntdll!_TEB +0x000 NtTib : ...
SEH的介绍及实战
For Geek
05-08 9976
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE链,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1452
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
[逆向破解]使用ESP定律手动脱-中国菜刀-壳
wangyunfeis的博客
08-21 5284
0x00前言:     ESC定律脱壳一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把eax,ecx,edx,ebx,esp,ebp,esi,edi都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通常会用POPAD(相当与把eax,ecx,edx,ebx,esp,ebp,esi,edi都出栈),通过跨区段的转移来跳到程序的OE
x86_64-posix-seh下载很慢
11-11
x86_64-posix-seh是一个操作系统的架构,...总的来说,解决x86_64-posix-seh下载速度慢的问题可以从优化网络连接、选择合适的下载时机、使用下载管理器以及选择其他下载源等方面进行尝试。希望以上建议对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue_Dream_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值