C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)

最新推荐文章于 2024-06-17 12:25:22 发布
最新推荐文章于 2024-06-17 12:25:22 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/101028924
版权

终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。
但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ?
在这里插入图片描述
刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以后有机会一定要发一个怎么发表情的教程)

参考代码:

#include "stdafx.h"

#include <iostream>
#include <tchar.h>
#include <Windows.h>
#include <stdio.h>
#include <exception> 


#pragma region 全局变量 
#pragma endregion

#pragma region 依赖函数 
#pragma endregion

#pragma region 功能函数 
   
/*
异常记录结构体:
	typedef struct _EXCEPTION_POINTERS {
	  PEXCEPTION_RECORD ExceptionRecord;	// 指向 EXCEPTION_RECORD 结构的指针(异常描述结构体)
	  PCONTEXT          ContextRecord;		// 指向 CONTEXT 结构的指针(寄存器结构体)
	} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;
*/
// 顶级异常筛选函数,不能把功能代码放在这个函数内(会死循环),非调试模式下回运行这里的代码
LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept)  
{  
	// 跳过下面两行代码:
    // 8900    MOV DWORD PTR DS:[EAX], EAX  
    // FFE0    JMP EAX  
    pExcept->ContextRecord->Eip += 4;  
    
	// 忽略异常,否则程序会退出
    return EXCEPTION_CONTINUE_EXECUTION;  
}  
   
#pragma endregion

int _tmain(int argc, _TCHAR* argv[])
{
	// 接管顶级异常处理程序
    SetUnhandledExceptionFilter(ExceptionFilter);  
   
	// 防止在 OD 中点击运行后直接终止,留一个反应时间
	MessageBox(NULL,L"如果程序正在调试,则即将触发断点...",L"MessageBoxW",NULL);

	// 主动制造 "非法地址" 异常,防止程序被调试	mov dword ptr [eax], eax
	__asm {  
        xor eax, eax				
        mov dword ptr [eax], eax
        jmp eax                     
    } 
	
	// 验证程序是否正常执行
    MessageBox(NULL,L"只有没有被调试时才能看到我",L"MessageBoxW",NULL);

	getchar();
	return 0;
}

大致功能如下:

正常运行程序,弹出 “只有没有被调试时才能看到我” 对话框(也就说明程序执行到了这里)
在这里插入图片描述
使用 VS 调试程序,报出异常,调试中断
在这里插入图片描述
使用 原版OD 打开程序,点击运行后程序会卡在我们构造的异常里无法继续执行
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEH调试的实现与调试
小驹的专栏
05-16 1万+
SEH用于调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
调试—利用SEH链表
王二娃的生活的博客
08-03 2627
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS调试相似,不过这里把调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
C++ 实现强行阻止程序崩溃并返回执行处 SetUnhandledExceptionFilter
最新发布
cjz2005的博客
06-17 1018
C++ 使用SetUnhandledExceptionFilter捕获C++和C的异常,并安全处置,要么生成minidump错误报告,要么跳回执行处 qwq
C++软件开发,安装运行程序后SetUnhandledExceptionFilter无法捕获异常问题
weixin_41504987的博客
06-29 728
自 VC++2005 开始出于安全因素微软改变了 CRT 的行为,导致 CRT 不会通知被注册的 Unhandled Exception Filter。在注册 Unhandled Exception Filter 后调用 DisableSetUnhandledExceptionFilter() 函数,之后所有对 SetUnhandledExceptionFilter 的调用都将无效。CRT 对SetUnhandledExceptionFilter 的调用也将无效。
异常处理——异常函数之SetUnhandledExceptionFilter(子进程处理)(3)
caicaptain
03-24 2429
1.解决思路和注意事项1.1 Set顶层异常函数 1.2 建立函数 1.3 在函数里面createprocess子进程,参数传递pid给子进程,保存父进程错误信息结构体到两个二进制文件 1.4 子进程根据pid通过openprocess获得句柄,打开两个结构体保存的二进制文件,读入。minidumpwrite2.创建子进程//代码一 #include<iostream> #include<st
让程序在崩溃时体面的退出之终极解决方案(SEH+Dump+Unhandled Exception Filter
soboer
08-03 341
在我的上篇文章《让程序在崩溃时体面的退出之SEH+Dump文件》我介绍了怎样用SEH加上Dump文件来避免程序的崩溃并在程序崩溃时创建Dump文件来帮助定位出现异常的代码行。可是只有try/except块中try块中的代码出现异常才能被捕捉到,try块外面的代码出现异常,程序照样会崩溃。 下面用《让程序在崩溃时体面的退出之SEH+Dump文件》文中的代码为例子来说明。// 创建Dump文件 ...
SEH调试.rar
04-05
SEH调试.rar
易语言SEH调试
07-21
在描述中提到的`MyUnhandledExceptionFilter`和`SetUnhandledExceptionFilter`是Windows API函数,它们与SEH调试紧密相关。`SetUnhandledExceptionFilter`函数允许程序设置一个自定义的未处理异常过滤器,即`...
易语言源码易语言SEH调试源码.rar
02-17
2. **调试检测**:讲解如何通过检查SEH链表、钩子API函数(如SetUnhandledExceptionFilter)或者异常处理程序的执行路径来判断是否存在调试器。 3. **代码混淆**:可能包含使用易语言混淆技巧,使代码难以理解,...
调试练习程序seh.exe
06-25
seh异常处理练习的程序,里面的程序里面用了SEH,并且SEH函数中有简单的调试代码.通过调试此程序可更好的理解SEH和动态调试
SetUnhandledExceptionFilter 调试
编程论坛
06-11 1699
646F1877  |.  8B85 E0FCFFFF MOV EAX,DWORD PTR SS:[EBP-320]646F187D  |.  C705 D0347E64&gt;MOV DWORD PTR DS:[647E34D0],10001646F1887  |.  A1 88357E64   MOV EAX,DWORD PTR DS:[647E3588]646F188C  |.  A3 84...
SetUnhandledExceptionFilter和C / C ++运行时库
04-08
本文介绍了SetUnhandledExceptionFilter与CRT一起使用的修复程序。
SEH调试SetUnhandledExceptionFilter
hambaga的博客
09-18 662
// SEH调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <windows.h> #include <stdio.h> DWORD g_bIsDebug = 0x1; // 非调试模式下会运行这里的代码 LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept) { g_bIsDebug = 0x0; // 跳过异常指令 mov dword ptr[
C++ 调试(基于 SEHSetUnhandledExceptionFilter
LYSM
09-20 852
C++ 调试(基于 SEHSetUnhandledExceptionFilter),参考这篇文章 上面的调试说到了在 原版OD 打开我们的测试程序,点击运行后直接终止,如下(没有弹出MessageBoxW) 为了验证程序是否真的没有走到第一个 MessageBoxW(参考开头文章中的代码),我们 ctrl+f2 重新运行程序,使用 bp MessageBoxW 下断点,再次点击运行程序...
调试跟踪的一点心得
happylife1527的专栏
10-16 965
此贴转载于看雪:http://bbs.pediy.com/showthread.php?t=79205 本文所提到的一些方法,对于熟练的逆向调试者来说不值一提。写出来的目的只是帮助初学者解决调试中可能遇到的一些问题。这些问题以前我遇到过,当时解决起来花了不少时间。 1、  INT 3断点: 检测关键API的入口的第1个字节是否为INT 3(0xCC),是则OVER。相关代码如下: if
SEH不能捕获异常
P.Kwok
12-06 1277
        异常处理真的是个好复杂的东西,网上有不少牛文,大家参考,这里只说其中的一点,关于SHE不工作的问题及如何解决的一点思路。        这个故事是发生在内核,驱动A开始工作的很好,后来老大说改成由驱动B模拟系统加载驱动B吧。也就是自己完成PE文件映射,重定位处理,导入表处理等等。改完后唯一的问题就是,SHE不工作了。__try<img id="_6_42_Ope
vscode配置调试c/c++环境
10-20
3. 下载并安装MinGW-W64 x86_64-win32-seh。 4. 配置各种.json文件。 5. 编写并测试Hello_world.cpp程序。 具体步骤可以参考引用中提供的文章。在配置完成后,可以使用引用中提供的C++代码进行测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值