反调试 - 硬件断点

最新推荐文章于 2024-06-25 21:50:33 发布
最新推荐文章于 2024-06-25 21:50:33 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107299799
版权

原理

如果程序设置了硬件断点,则 dr0 - dr7 寄存器的值就会改变,其中 dr0 - dr3
存放硬件断点的地址,dr4 - dr5 保留,dr6 存放调试事件的详细信息,dr7 存放断点触发的条件。

可以使用 GetThreadContext 获取线程上下文环境,然后读取当前的 dr0 - dr3 有没有值,有的话就说明调试器设置了硬件断点,说明有调试器。

但是缺点就是如果调试器没有设置硬件断点的话就无法检测调试器,所以这种方法一般都和其他反调试计数配合使用。😦

函数介绍

/*
	检索线程上下文
	返回值:失败返回 0	
*/
BOOL GetThreadContext(
  HANDLE    hThread,			// 线程句柄
  LPCONTEXT lpContext			// CONTEXT 结构体指针
);

x64 下的 CONTEXT 结构:

typedef struct DECLSPEC_ALIGN(16) DECLSPEC_NOINITALL _CONTEXT {
	
	// 忽略,用于将来扩展
    DWORD64 P1Home;
    DWORD64 P2Home;
    DWORD64 P3Home;
    DWORD64 P4Home;
    DWORD64 P5Home;
    DWORD64 P6Home;

	// 控制位
    DWORD ContextFlags;
    DWORD MxCsr;

	
	// 段寄存器
    WORD   SegCs;
    WORD   SegDs;
    WORD   SegEs;
    WORD   SegFs;
    WORD   SegGs;
    WORD   SegSs;
    DWORD EFlags;		
	
	// 调试寄存器
    DWORD64 Dr0;
    DWORD64 Dr1;
    DWORD64 Dr2;
    DWORD64 Dr3;
    DWORD64 Dr6;
    DWORD64 Dr7;

	// 通用寄存器
    DWORD64 Rax;
    DWORD64 Rcx;
    DWORD64 Rdx;
    DWORD64 Rbx;
    DWORD64 Rsp;
    DWORD64 Rbp;
    DWORD64 Rsi;
    DWORD64 Rdi;
    DWORD64 R8;
    DWORD64 R9;
    DWORD64 R10;
    DWORD64 R11;
    DWORD64 R12;
    DWORD64 R13;
    DWORD64 R14;
    DWORD64 R15;

	// 程序计数器
    DWORD64 Rip;
	
	// 浮点运算寄存器
    union {
        XMM_SAVE_AREA32 FltSave;
        struct {
            M128A Header[2];
            M128A Legacy[8];
            M128A Xmm0;
            M128A Xmm1;
            M128A Xmm2;
            M128A Xmm3;
            M128A Xmm4;
            M128A Xmm5;
            M128A Xmm6;
            M128A Xmm7;
            M128A Xmm8;
            M128A Xmm9;
            M128A Xmm10;
            M128A Xmm11;
            M128A Xmm12;
            M128A Xmm13;
            M128A Xmm14;
            M128A Xmm15;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

    // vector(向量)寄存器
    M128A VectorRegister[26];
    DWORD64 VectorControl;

	// 调试控制寄存器
    DWORD64 DebugControl;
    DWORD64 LastBranchToRip;
    DWORD64 LastBranchFromRip;
    DWORD64 LastExceptionToRip;
    DWORD64 LastExceptionFromRip;
} CONTEXT, *PCONTEXT;

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;



int main()
{
    // 初始化 CONTEXT 结构
    PCONTEXT ctx = (PCONTEXT)VirtualAlloc(NULL, sizeof(CONTEXT), MEM_COMMIT, PAGE_READWRITE);
    if (ctx == NULL) {
        cout << "VirtualAlloc failed." << endl;
        goto main_end;
    }
    RtlSecureZeroMemory(ctx, sizeof(CONTEXT));

    // 指定检索线程上下文的哪些部分
    ctx->ContextFlags = CONTEXT_DEBUG_REGISTERS;

    // 获取 dr0 - dr3 的值
    if (GetThreadContext(GetCurrentThread(), ctx)) {
        if(ctx->Dr0 != 0 || ctx->Dr1 != 0 || ctx->Dr2 != 0 || ctx->Dr3 != 0) {
            cout << "发现调试器!" << endl;
        }
        else {
            cout << "没有调试器!" << endl;
        }
    }
    else {
        cout << "GetThreadContext failed." << endl;
    }


main_end:
    getchar();
    return 0;
}

效果图

x64dbg 设置硬件断点后:
在这里插入图片描述
正常运行时:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
关于硬件断点
RanCheIce的专栏
04-16 3942
4个断点寄存器DR0~DR3用来设置断点的线性地址。 DR6为状态寄存器,DR7为控制寄存器。 DR4和DR5保留。当CR4.DE==1时,访问DR4和DR5产生#UD异常;IF CR4.DE==0,访问DR4和DR5将是对DR6和DR7的访问。 下面这张表非常清楚:    |---------------|----------------| Dr0|                 用
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
VEH+硬件断点实现无痕HOOK
鬼手的博客
09-24 9003
文章目录hook的分类硬件断点hook原理设置硬件断点注册VEH代码实现VEH无痕Hook说说一路踩过的坑实际效果小结关于veh hook的对抗参考文章参考文章 hook的分类 hook方式有多种,这里做了一个系统性的总结对比,如下: 实际上第二种和第三种属于同一类型的hook,都是利用异常处理函数来处理,只是触发异常的方式不同 硬件断点hook原理 想要实现硬件断点hook,需要实现下面几个步骤 设置硬件断点 注册veh异常处理函数 编写异常处理函数,实现自己的hook代码 设置硬件断点 首先来说一
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点检测 兼容各大游戏保护各系统
x64dbg调试
最新发布
图像学习之旅
06-25 984
x64dbg 是一款开源、免费、功能强大的动态汇编调试器,它能够在Windows平台上进行应用程序的汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的汇编调试软件之一。
硬件断点
mqzzqian的专栏
06-08 2627
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1404 作者:mengwuji 检测硬件断点,是一件很有趣的事儿,至少这玩意儿可以让xx工具威力丧失一半儿。不过对于这方面的探讨是比较少的,主要在于一般检测硬件断点的方法,不外乎用NtGetContextT
2.VT调试器之无限硬件断点.rar
10-20
与软件断点相比,硬件断点不涉及指令的修改,因此更不易被调试技术检测到,也更稳定。 VT调试器的一大优势就是提供了无限硬件断点。在大多数传统调试器中,由于硬件资源限制,通常只能设置有限数量的硬件断点...
阿布调试工具插件下载
09-01
5. **硬件断点检测**:某些调试技术会扫描硬件断点寄存器,如果发现未授权的断点设置,就会采取行动。 6. **时间戳和性能计数器**:通过比较程序执行的速度,阿布插件可能能够检测调试器慢下来以便进行步进或...
76.逆向分析之OllyDbg动态调试工具(二)INT3断点调试硬件断点与内存断点_网络_杨秀璋的专栏-CSDN博客1
08-03
逆向分析之OllyDbg动态调试工具(二)INT3断点调试硬件断点与内存断点 本文是关于逆向分析技术的教程,主要聚焦于动态调试工具OllyDbg的使用,特别是如何设置和应对各种断点,以及调试技术。OllyDbg是一款...
易语言-高强度调试,隐藏线程,清除硬件断点等,防破解专用
06-25
高强度调试,隐藏线程,清除硬件断点等,防破解专用
易语言-调试模块易语言
06-29
在“易语言-调试模块易语言”这个主题中,我们主要讨论的是如何利用易语言来编写调试模块,以防止程序在调试环境中被分析或篡改。 一、调试技术基础 调试技术是为了保护软件不被逆向工程师通过调试工具...
软件调试笔记6 - 断点和单步执行: 硬件断点
imJaron的博客
11-22 1053
重点介绍下读写域的使用方式。 硬件断点的设置方法: 用户态的调试器如何设置硬件断点呢?答案是通过线程的上下文context数据来间接访问调试寄存器。CONTEXT结构用来保存线程的执行状态,在多任务系统中,操作系统通过让多个任务轮换运行来使多个程序同时运行。当一个线程被挂起,包括通用寄存器在内的线程上下文信息会被保存起来,当该线程恢复执行时,保存的内容又会被恢复到寄
X86逆向教程10:学会使用硬件断点
weixin_30408309的博客
07-13 338
本节课我们将学习硬件断点的使用技巧,硬件断点是由硬件提供给我们的一组寄存器,我们可以对这些硬件寄存器设置相应的值,然后让硬件帮我们断在需要下断点的地址上面,这就是硬件断点硬件断点依赖于寄存器,这些寄存器有个通用的名称,即调试寄存器,调试寄存器一共有8个分别从Dr0-Dr7。在软件破解中硬件断点常用来寻找赋值或读取的原始位置。 硬件断点并不是OD等调试器的特有功能,调试器只是把用户的需求转换成特...
1.1 熟悉x64dbg调试
CSDN
07-06 1万+
x64dbg 是一款开源、免费、功能强大的动态汇编调试器,它能够在Windows平台上进行应用程序的汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的汇编调试软件之一。x64dbg官方地址:https://x64dbg.com/x64dbg和Ollydbg虽都是Windows。
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
x64Dbg基础知识
若风
01-09 2164
bp和sp 先来一张图 结论 ebp(bp) base point -> 栈底 esp(sp) stack point -> 栈顶
硬件断点还能这么玩?
01-10 2270
硬件断点调试寄存器,这一篇足够了!
Windows平台调试技术学习
q2919761440的博客
01-19 906
前俩天的学习记录Windows上面的调试学习,主要是参考《恶意代码实战分析》和《加密与解密》里面的,给每个小技术都写了程序示例,自己编译调试了一遍。Windows调试
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值