DEBUG API写简单的Loader

最新推荐文章于 2018-08-02 11:15:31 发布
最新推荐文章于 2018-08-02 11:15:31 发布
阅读量2.7k 收藏
点赞数
分类专栏: VC++ 文章标签: api exception null thread dll output
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Red_angelX/article/details/1482924
版权

         一直想做一个类似KeyMaker的Loader,能解壳,能读寄存器,读指定内存值,通宵了一晚上基本搞定

         下面是代码:

        

//  MemoryReader.cpp : 定义控制台应用程序的入口点。
 //
#include  " stdafx.h "
#include  " windows.h "
#include  " Commdlg.h "
#include  " winnt.h "

BYTE INT3  =   0xCC ;

 // 写入前的
BYTE Old;

 // 页面属性
DWORD OldProtect;

 // 是否已写入INT3
bool  HasINT3  =   false ;

 bool  IsFirstINT3  =   true ;

DWORD BreakPoint  =   0x10074B8 ;

BYTE Org[ 8 =   {0x80,0x3E} ;

 // 判断是否解压完成
bool  IsUnpacked(PROCESS_INFORMATION pi)
 {
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    printf("Exe Info:Eax:%x,Esp:%x,Eip:%x ",context.Eax,context.Esp,context.Eip);        
    ResumeThread(pi.hThread);
    BYTE mem[8];
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    ReadProcessMemory(pi.hProcess,(LPCVOID)BreakPoint,&mem,8,NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    printf("hex num is:%x,%x,%x,%x ",mem[0],mem[1],mem[2],mem[3]);
    if(mem[0^ 0xff == Org[0&& mem[1^ 0xff == Org[1])
    {
        //不能乱调用
        Old = mem[0];
        return TRUE;
    }
    return false;
}

// 写INT3
bool  WriteINT3(PROCESS_INFORMATION pi)
 {
    //VirtualAllocEx(pi.hProcess,(LPVOID)0x0101259b,sizeof(INT3), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    SuspendThread(pi.hThread);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&INT3,sizeof(INT3),NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    HasINT3 = ret;
    ResumeThread(pi.hThread);
    return ret;
}

// 改回去
bool  CleanINT3(PROCESS_INFORMATION pi)
 {
    //SuspendThread(pi.hThread);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&Old,sizeof(Old),NULL);
    if(ret == false)
    {
        printf("改回去失败! ");
    }
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    context.Eip--;
    SetThreadContext(pi.hThread,&context);

    printf("已经改回去了,Eax:%x ",context.Eax);
    return ret;
}



int  main( int  argc,  char *  argv[])
 {
    char f_name[256];
    f_name[0= NULL;
    OPENFILENAME filename;
    ZeroMemory(&filename,sizeof(OPENFILENAME));
    filename.lStructSize = sizeof(OPENFILENAME);
    filename.hwndOwner = NULL;
    filename.lpstrFilter = "*.exe";
    filename.lpstrFile = f_name;
    filename.nMaxFile = 256;
    filename.lpstrInitialDir = NULL;
    filename.Flags = OFN_EXPLORER | OFN_HIDEREADONLY;
    if(!GetOpenFileName(&filename))
        return 0;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si,sizeof(STARTUPINFO));
    ZeroMemory(&pi,sizeof(PROCESS_INFORMATION));
    bool ret = CreateProcess(filename.lpstrFile,"",NULL,NULL,FALSE,DEBUG_PROCESS,NULL,NULL,&si,&pi);
    if(ret == false)
    {
        MessageBox(NULL,"创建进程失败!","",0);
        return -1;
    }
    DEBUG_EVENT devent;
    int DllCount = 0;
    while(TRUE)
    {
        if(WaitForDebugEvent(&devent,1))
        {
            switch(devent.dwDebugEventCode)
            {
            case CREATE_PROCESS_DEBUG_EVENT:
                printf("CREATE_PROCESS_DEBUG_EVENT... ");
                break;
            case CREATE_THREAD_DEBUG_EVENT:
                printf("CREATE_THREAD_DEBUG_EVENT... ");
                break;
            case EXCEPTION_DEBUG_EVENT:
                //printf("EXCEPTION_DEBUG_EVENT... ");
                 switch(devent.u.Exception.ExceptionRecord.ExceptionCode)
                {
                case EXCEPTION_BREAKPOINT:
                    if(HasINT3)
                    {    
                        SuspendThread(pi.hThread);
                        CONTEXT context;
                        ZeroMemory(&context,sizeof(CONTEXT));
                        context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
                        GetThreadContext(pi.hThread,&context);
                        printf("Eax:%x ,Esi:%x ,Eip:%x ,Ebp:%x ",context.Eax,context.Esi,context.Eip,context.Ebp); 
                        if(context.Eip == BreakPoint + 1)
                        {
                            if(!CleanINT3(pi))
                            {
                                printf("清除断点失败!");
                            }

                            printf("Program Stopped At What We Want ");
                            char key[256];

                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
                            ReadProcessMemory(pi.hProcess,(LPCVOID)context.Esi,key,sizeof(key),NULL);
                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
                            
                            printf("读出来的东西是 %s ",key);        
                        }
                        ResumeThread(pi.hThread);
                    }    
                    break;
                case EXCEPTION_SINGLE_STEP:
                    printf("2 EXCEPTION_SINGLE_STEP ");
                    break;
                case EXCEPTION_ACCESS_VIOLATION:
                    printf("读写地址出错 ");
                    printf("%d,%x ",devent.u.Exception.ExceptionRecord.ExceptionInformation[0],devent.u.Exception.ExceptionRecord.ExceptionAddress);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);

/*                    char Nop[3];
                    Nop[0] = 0x90;
                    Nop[1] = 0x90;
                    Nop[2] = 0x90;
                    PVOID pathAddress;
                    pathAddress = devent.u.Exception.ExceptionRecord.ExceptionAddress;
                    VirtualProtectEx(pi.hProcess,pathAddress,3,PAGE_READWRITE, &OldProtect);
                    WriteProcessMemory(pi.hProcess,pathAddress,Nop,3,NULL);
                    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);        */        
                    break;
                default:
                    break;
                }
                break;
            case LOAD_DLL_DEBUG_EVENT:
                //获取DLL NAME太复杂,暂时做不到
                DllCount ++;
                printf("%d,Program Loads a Dll From BaseImage:%x,ImageName:%x ",DllCount,devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                {
                  if(IsUnpacked(pi))
                  {
                      printf("UnPacked Success!! ");
                      WriteINT3(pi);
                      printf("Write a INT3 ");
                  }
                }
                break;
            case UNLOAD_DLL_DEBUG_EVENT:
                printf("UnLoad a Dll From BaseImage:%x,ImageName:%x ",devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                {
                  if(IsUnpacked(pi))
                  {
                      printf("UnPacked Success!! ");
                      WriteINT3(pi);
                      printf("Write a INT3 ");
                  }
                }
                break;
                break;
            case OUTPUT_DEBUG_STRING_EVENT:
                break;
            case EXIT_PROCESS_DEBUG_EVENT:
                printf("调试程序已退出");
                break;
            default:
                printf("%d ",devent.dwDebugEventCode);
                break;
            }
            ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_CONTINUE);
        }
        else
        {
        }
    }
    //KeyMake中不要这两句
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return 0;
}

           可以解压缩和加密壳,不过必须是要获得的内容是壳执行之后,如果再壳执行之前有内容的话可能会被壳偷掉,另外还不支持AntiDebug,不过测试Keymake也不支持AntiDebug,慢慢修改了

Red_angelX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pe-loader:Windows PE格式的文件加载器
05-15
编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1局限性大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像根据官方PE格式...
php Swoole Loader扩展DLL及so
03-18
- 开发API服务器,利用Swoole Loader的性能提升,处理大量并发请求。 总结来说,PHP Swoole Loader扩展是为了优化Swoole环境下的PHP性能而设计的,通过提供自动加载和预编译等功能,它能够使PHP开发者在构建高性能...
调试篇-windows debug api
浅浅徘徊的博客
01-26 2133
先创建一个被调试的pe程序,代码如下: // test.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include using namespace std; void print(){ cout"hello\n"; } int _tmain(int arg
Win32调试API原理
hackwaly的专栏
03-26 4249
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程的内存、线程的
windows Debug API 转载+整理
zjc742206723的专栏
07-27 947
很多朋友都梦想有自己的Debugger程序,今天我们就来自己制作一个。作为一个Debugger程序,其最基本的功能框架其实就是完成2件事情: 启动目标程序。实时监控目标程序的运行,并做出相应的应对。 我们要打造自己的Debugger程序,实际上也只需要完成这两个功能就可以了。当然,要完成这两个特定的功能,我们不可能从头开始造轮子,要首先看看操作系统给我们提供了什么样的基础设施: 由于我们是在
跟踪API
七七八八
07-19 2602
今天无意中发现彭春华的一些关于跟踪API的方法,特别是调试函数的使用,惊叹! 以前居然没有发现!                                                                     跟踪监视方案概览当我们对某一目标程序进行API函数的跟踪监视分析时,根据跟踪监视的目标,基本上有以下几种途径实现对API函数的跟踪监视:  Log记录分析 如果
debug API(转载+整理)
zjc742206723的专栏
08-03 797
1、 CreateProcess() WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 BOOL CreateProcess ( LPCTSTRlpApplicationName, LPTSTRlpCommandLine, LPSECURITY_ATTRIBUTESlpProcessAttributes。 LPSECUR
上传IPA出现的错误提示“application loader“上传出错解决方法
08-30
首先,当错误信息指出“生成的API分析文件太大”时,这意味着在上传过程中,Xcode生成的分析文件超过了Application Loader的接受范围。这种情况下,你可以尝试以下步骤来解决问题: 1. **更新Xcode和Application ...
TriLib - Unity model loader package 1.8.7b.rar
最新发布
11-14
4. **运行加载**:在游戏运行时,通过调用TriLib提供的API来加载模型,代码简单直观。 四、示例代码 以下是一个基本的模型加载示例: ```csharp using TriLib; using UnityEngine; public class ...
软件加密技术内幕
03-19
7.3.4 hook 相关的api(防止loader和调试api) 7.4 使用sdk把程序和壳溶为一体 7.4.1 sdk的意义 7.4.2 做一个带sdk的壳 7.5 后记:关于壳和程序的思考 第8章 Visual Basic 6 逆向工程 8.1 简介 8.2 P-code传奇 ...
ApiDebug-接口调试辅助工具
08-15
你还在为后端工程师找你要接口而烦恼吗?你还在网上找api调试工具吗?现在将这款Api调试工具开源出来,它涵盖了RAP/Postman/Fiddler接口抓包相关核心功能,方便开发人员接口调试。工具为Android项目,内含两个Apk可执行程序,项目使用kotlin语法,Material Design UI 设计风格,代码开源,相互学习,多多指教~ 原文博客:https://blog.csdn.net/u011038298/article/details/81298152
调试API学习心得(debug学习资料)
06-03
调试API学习心得,debug学习所需的资料.
ApiDebug-master
11-22
ApiDebug-master,用于浏览器调试接口 ApiDebug-master,用于浏览器调试接口
debug api
weixin_34007906的博客
08-24 123
看雪《加密解密》18.2 内存补丁\18.2.3 利用调试寄存器机制\1.利用Single Step机制 的源码老强大了,要好好学习。 它可以对加壳软件的任意地址做任意动作。 缺点: 我的360会对执行程序报警——远程线程注入。 杂项: "++"是C和C++里的自增运算符. 例: ++i,i++; ++i是使用i之前先使i加一. i++是使用i之后再加一 转载于:https:...
ApiDebug接口调试工具
wangyongqi的博客
08-02 7776
ApiDebug功能介绍: 1.常用的一些接口展示,并附带接口注释/参数说明 2.接口名称可以通过关键字搜索来快速找到 3.接口直接点击访问,并支持JSON视图查看 4.监听主APP的接口日志并按时间先后顺序排序展示 5.接口请求所消耗时间的展示 6.支持主APP日志接口的删除及下拉刷新功能 7.Postman模拟请求(支持接口/参数/值的修改及访问) 点击进入升级版&g...
Debug函数实现API函数的跟踪
yzd
07-02 108
如果我们能自己编一个类似调试器的功能,这个调试器需要实现我们对于跟踪监视工具的要求,即自动记录输入输出参数,自动让目标进程继续运行。下面我们就来介绍在不知道函数原型的情况下也可以简单输出监视结果的方案——用Debug函数实现API函数的监视。 用Debug函数实现API函数的监视 大家知道,VC可以用来调试程序,除了调试Debug程序,当然也可以调试Release程 序(调试Release...
Windows Debug API
weixin_30938149的博客
12-19 172
最重要的Debug API有如下几个: CreateProcess —— 用于创建被调试进程 WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数 ContinueDebugEvent —— 用于构成Debug Loop GetThreadContext —— 得到被调试进程的寄存器信息 SetThreadContext —— 设置被调试进程的寄存器信...
DebugApiSpy的使用
wgwg1985的专栏
11-15 1899
这个工具可以监视一个exe程序调用了哪些API函数,比较好用。操作说明文档内容如下: 对一个新的进程进行API函数跟踪监视可以通过以下步骤进行。 一. 运行新的跟踪监视进程 1. 启动DebugApiSpy.exe 2. 选择【文件】-【创建新的进程】菜单,弹出【创建新进程】对话框。 在【创建新进程】对话框中输入准备跟踪监视的Exe文件名及启动参数。必要时也可以指定运行路径。选择【确认】
一个riscv的debug程序
05-10
以下是一个简单的RISC-V Debug程序示例: ```assembly # Debug程序代码 # 使用RISC-V的EBREAK指令作为断点 .section .text .globl _start _start: # 初始化调试器 # 禁用所有中断 csrw mie, x0 # 启用全局调试 csrr t0, mstatus li t1, 0x8 or t0, t0, t1 csrw mstatus, t0 # 设置断点 li t0, 0x1234 sw t0, 0x80000000 # 运行代码 li t0, 0 li t1, 1 loop: addi t0, t0, 1 beq t0, t1, loop ebreak ``` 该程序的主要功能是在RISC-V中设置断点,并在程序执行到断点处时触发EBREAK指令,从而暂停程序执行并进入调试模式。 在程序的开始部分,我们使用CSRW指令将MIE寄存器(中断使能寄存器)的值设置为0,以禁用所有中断。然后,我们使用CSRR和OR指令将MSTATUS寄存器(状态寄存器)的第3位设置为1,以启用全局调试。 接下来,我们使用SW指令将立即数0x1234存储到地址0x80000000处,作为我们的断点。然后,我们使用ADDI和BEQ指令来运行一个简单的循环,每次循环时将t0寄存器加1,直到t0等于t1。当t0等于t1时,我们触发EBREAK指令,从而暂停程序执行并进入调试模式。 该程序仅仅是一个简单的示例,实际的RISC-V Debug程序可能需要更多的功能,如支持单步执行、读寄存器和内存等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值