为什么要使用硬件断点?
有些程序会启动一个线程,实时检测代码节是否被修改,这样可以防止作弊者使用OD调试程序时下CC断点,这种技术叫全代码检测或CRC检测。为了绕过这种检测,大佬们想出了很多办法:
- 干掉CRC线程
- 干掉CRC函数的判断
- 绕过CRC检测的位置,到更底层去修改
- 硬件HOOK
- 其他HOOK,欺骗CRC检测函数(虚表HOOK)
- 干掉退出函数(ExitProcess)
本文介绍的是硬件断点(硬件HOOK)。
硬件断点原理
当执行到某个指令,DR0寄存器中存储了这条指令的地址,就会触发异常。如果使用 AddVectoredExceptionHandler 函数注册了全局异常处理,则程序会跳转到异常处理函数。在异常处理函数内,做相应的操作(或者什么也不做),最后JMP到触发异常的下一条指令,就完成了HOOK破解。
在异常处理函数内,可以通过 PEXCEPTION_POINTERS 参数判断触发异常的指令是不是我们定位的关键指令,如果是,才执行上述操作。
WIN7示例代码
本例使用DLL劫持技术,劫持winspool.drv。您也可以使用其他DLL注入技术,无所谓的。
winspool.drv VEH+硬件断点部分代码
注意,这段代码只能在WIN7上运行,在WIN10则无法断下,在WIN10中设置硬件断点必须先挂起线程,因此我们需要创建一个子线程,将主线程挂起后,再在主线程中设置硬件断点。可以参考这篇文章:https://bbs.pediy.com/thread-258083.htm
DWORD g_dwBreakpoint = 0x401053; // 关键指令,希望跳过这条指令
// 设置硬件断点函数
void SetHardwareBreakPoint()
{
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_ALL;
GetThreadContext(GetCurrentThread(), &ctx);
ctx.Dr7 = (DWORD)1; // 启用Dr0
ctx.Dr0 = g_dwBreakpoint; // 设置硬件断点
SetThreadContext(GetCurrentThread(), &ctx);
}
// 异常处理