对OD硬件断点的几点思考

最新推荐文章于 2024-09-02 17:11:12 发布
最新推荐文章于 2024-09-02 17:11:12 发布
阅读量3.6k 收藏 1
点赞数 1
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nightsay/article/details/42122713
版权

前几天转了一片这样的文章

http://blog.csdn.net/nightsay/article/details/42063081

这几天在分析硬件断点的时候恍然明白了好多,打开OD在我们下硬件断点到时候


为什么只有访问,写入和执行断点,为什么每种断点只有byte,word,dword类型

为什么在查询硬件断点的时候发现硬件断点只能有4个


原理自然明了:

先回顾一下 调试寄存器:

点击图片以查看大图图片名称: DR0_DR7.jpg查看次数: 2307文件大小: 63.6 KB文件 ID : 39226

DR0~DR3,哦,只能下4个硬件断点

在看DR7:

 R/W0-R/W3:(由第16,17,20,21,24,25,28,29位控制):这个东西的处理有两种情况。
如果CR4的DE被置位,那么,他们按照下面的规则处理问题:
00:执行断点
01:数据写入断点
10:I/0读写断点
11:读写断点,读取指令不算
如果DE置0,那么问题会这样处理:
00:执行断点
01:数据写入断点
10:未定义
11:数据读写断点,读取指令不算

所以只有执行断点,访问断点和写入断点

LEN0-LEN3:(由第18.19.22.23.26.27.30位控制):指定内存操作的大小。
00:1字节(执行断点只能是1字节长)
01:2字节
10:未定义或者是8字节(和cpu的系列有关系)
11:4字节

所以只有byte,word ,dword类型


一切都清楚了,不是么?

Nightsay
关注
专栏目录
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3104
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
OD调试器断点——硬件断点
Onlyone_1314的博客
04-11 2820
硬件断点(简称:HBP)是处理器的特性之一,它的工作原理我不是很了解,但是我们会用就行了,我们可以设置硬件断点使程序中断下来。 在OD中我们最多可以设置4个硬件断点,如果想设置第5个的话,你需要删除已经设置了的4个中的其中一个。 硬件断点分为:硬件执行断点(ON EXECUTION),硬件写入断点(ON WRITE),硬件访问断点(ON ACCESS)3种。 硬件执行断点与内存的CC断点作用一样,但硬件执行断点并不会将指令首字节修改为CC,所以更难检测。但是有些程序会使用一些技巧来清除硬件断点,应对方法我们
android硬件断点,硬件断点的原理 ---- OD各种断点的原理
weixin_39541189的博客
05-26 836
1.前言在我跨入OllyDbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了前辈们的文章以后,终于明白了一些东西。希望这篇文章能让你对硬件断点的原理和使用有一些帮助2.正文--------------------------------------------------i.硬件...
OD硬件断点OD内存断点,API断点
icefoxy的专栏
12-01 9139
一.【设置硬件写入断点】<br />9 i0 B( m; A8 {HW 968A34+ X+ ^: [. R# a<br />命令"HW "的全称是 Hardware Write ,Hardware 是硬件的意思,Write是写入硬件的意思,968A34是某游戏 的内存地址<br />' h: h4 i! p% /) }) /8 w8 u--------------------------------------<br />! /: F; Q) q" R- w0 s, k9 H! {0 c/ w) T
OD 常用断点
10-03
OD断点分类 用断点(OD中) 拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A) 创建定制消息框
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
Ollydbg使用教程学习总结(二)
最新发布
m0_67194883的博客
09-02 30
把程序跑一遍之后我们发现程序有两个NAG,一个是在程序界面启动前出现,另一个是在程序关闭后出现的。去掉第一个Nag方法如下:①jmp跳过②全部nop掉③令hOwner参数为1,push 1,使其父句柄无意义④更改入口地址为401024双击这一行将下面一行中的值改为1024,如下图具体在数据窗口中定位到4000E8,按下空格键进行修改同理,可去掉第二个NAG窗口。
[脱壳破解]脱壳小结
独步清风
11-23 3935
首先什么是壳 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加壳以躲避杀毒软件。 壳的分类: 压缩壳和加密壳 如何分辨加密壳和压缩壳,通用特点,O
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
OD用脚本下断
把梦想放飞在蓝色的天空里...
10-25 1307
//start DBH //隐藏OD bd //清除普通断点 bphwc //清除硬件断点 GMA "QMNetworkMgr", MODULEBASE var offset mov offset, 11ba9 add offset, $RESULT bp of
全面解析OD各类断点
lambda
04-27 3804
1 INT 3断点 当执行一个INT3断点时,该地址处的内容被调试器用INT 3指令替换了(但是OD隐藏了这个替换,不让我们看到),因其机器码是0xCC,也称为“CC断点”。程序执行到INT 3指令时会导致一个异常,OD捕获这个异常,停在断点处,并将断点处的指令恢复为原来的指令。“F2”或bp设置的就是这种断点。 特点:会断在该指令执行前。 优点:可以设置无数个这样的断点。 缺点:改变了原程序机器码,可能被程序校验导致下断后程序退出。 2 硬件断点 使用DR0-DR3调试寄存器设定断点地址,DR4和DR
OD无法下断点
Sven的忘却日记
01-04 2075
提示 “无法在断点(可能无效)地址XXXXXXXX 读取寄存器以及更新EIP” 点确定后就崩溃了,查看崩溃模块发现是E_Junk_Code.dll这个插件导致的 将插件删除后,OD不崩溃了,但还是出现那个错误弹窗。 把所有插件都删掉就好了。。 ...
记两次OD调试的过程,OD断点无效的解决过程
任尔东西南北风
03-21 3520
问题 在使用OD(OllyDbg)的过程中,我们可以使用断点开进行反汇编代码的暂停执行,通常在调试自己代码的时候我们会使用搜索expresion的方式来在特定代码处下断点,但是有时候我们成功在所谓有效的expression处下了断点之后执行代码,代码却没有暂停,直接运行到程序结束。这是为什么呢。 注:expression在这里表示一个可以被OD检测到的函数 答案 这是因为我们的代码在编译的过程中,...
OD 内存断点硬件断点 小结
期待下集是个可爱梦儿
02-23 1886
0040EE67      90                 nop                              //假设此处为EIP 0040EE68      90                 nop0040EE69      90                 nop0040EE6A      A0 C4FF1200        mov     al, byte ptr [12FFC4]0040EE6F      90                 nop0040EE70
硬件断点的原理 ---- OD各种断点的原理
wowolook的专栏
05-27 1万+
1.前言       在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了前辈们的文章以后,终于明白了一些东西。希望这篇文章能让你对硬件断点的原理和使用有一些帮助 2.正文 ------------------------------------------
反调试 - 硬件断点
LYSM
07-12 1224
原理 如果程序设置了硬件断点,则 dr0 - dr7 寄存器的值就会改变,其中 dr0 - dr3 存放硬件断点的地址,dr4 - dr5 保留,dr6 存放调试事件的详细信息,dr7 存放断点触发的条件。 可以使用 GetThreadContext 获取线程上下文环境,然后读取当前的 dr0 - dr3 有没有值,有的话就说明调试器设置了硬件断点,说明有调试器。 但是缺点就是如果调试器没有设置硬件断点的话就无法检测调试器,所以这种方法一般都和其他反调试计数配合使用。???? 函数介绍 /* 检索线程上
过TP驱动4(硬件断点部分)
guoyi987的专栏
03-17 2745
NtGetThreadContext NtSetThreadContext 需要处理一下    概念性代码:   NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext) { PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s
OD调试工具:断点与命令详解
"本文主要介绍了OD(OllyDbg)调试器中的断点设置与管理,以及相关的命令操作。OllyDbg是一款流行的x86汇编语言...通过熟练掌握这些OD中的断点和命令,可以更深入地理解程序运行流程,对逆向工程和软件调试工作大有裨益。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值