内存断点和硬件断点

最新推荐文章于 2023-08-19 21:36:53 发布
最新推荐文章于 2023-08-19 21:36:53 发布
阅读量6.4k 收藏 11
点赞数 4
分类专栏: 软件逆向 文章标签: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TeaIsCold/article/details/78242575
版权

1. 内存断点

A) Windows系统中的内存采用分页机制,内存模型如下所示:

保护模式下的内存模型

32位逻辑地址=16位段选择器+偏移地址
16位段选择器=13位全局描述符表/局部描述符表索引+1位GDT/LDTflag+2位的访问控制权限
由16位得到段选择器索引到全局描述符表得到64位的段描述符,段描述符中包含了线性段基址
线性段基址+偏移地址(逻辑地址后半段)得到线性地址空间的一个32位线性地址
32位线性地址=10位页目录索引+10位页表索引+12位物理页内偏移
根据页目录索引找到相应页表地址,然后加上页表偏移得到一个物理地址空间中的一个基地址,该物理基址加上物理页内偏移即是逻辑地址所映射的物理地址。

B) 每个内存页都是有属性的:

比如用来存放数据的页要设置成不可执行的,这样可以防止缓冲区溢出等攻击

C) 内存断点的基本原理:

    内存断点的实现方式是将你欲下断地址所在的内存页增加一个名为PAGE_NOACCESS的属性,这个属性会把当前内存页设为禁止任何形式的访问,如果进行访问会触发一个内存访问异常。在这同时,OD开始捕获目标程序中出现的这个异常,并判断触发这个异常的位置是否跟你下断的地址相同,如果相同则内存断点触发,暂停被调试程序的运行,否则放行。
补充|:
    1.内存断点很消耗资源,因为PAGE_NOACCESS属性一设置就是一整个内存页无法访问,那么当程序访问该内存页中非断点地址的内容同样会触发异常,这时OD收到异常后需要进行特殊处理,临时放行,非常消耗资源,甚至这使得内存断点在调试很多大型程序时慢到近乎不可用。
    2.虽然内存断点的效率经常很不理想,但是因为仅仅是修改了一个内存属性,所以内存断点可以下数量非常多、单断点范围非常大。这是它的优势。
    3.只在写入时断下的内存断点通常是将内存属性设为PAGE_EXECUTE_READ,也就是不可写来实现的。对这种属性的内存进行写操作将会触发异常。

2. 硬件断点

    硬件断点是由硬件提供给我们的调试寄存器组,我们可以对这些硬件寄存器设置相应的值,然后让硬件帮我们断在需要下断点的地址。
Intel 80386以上的CPU 提供了调试寄存器以用于软件调试。386和486拥有6个(另外两个保留)调试寄存器:Dr0 ~ Dr7。
    Dr0,Dr1,Dr2,Dr3是用于设置硬件断点的,由于只有4个硬件断点寄存器,所以同时最多只能设置4个硬件断点。产生的异常是STATUS_SINGLE_STEP(单步异常)。
Dr7是一些控制位,用于控制断点的方式

这里写图片描述

    位0 L0和位1 G0:用于控制Dr0是全局断点还是局部断点,如果G0为1则是全局断点,如果L0为1则为局部断点。G0,L0 ~G3,L3分别用于控制Dr0~Dr3。
    LE和GE:P6 family和之后的IA32处理器都不支持这两位。当设置时,使得处理器会检测触发数据断点的精确的指令。当其中一个被设置的时候,处理器会放慢执行速度,这样当命令执行的时候可以通知这些数据断点。建议在设置数据断点时需要设置其中一个。切换任务时LE会被清除而GE不会被清除。为了兼容性,Intel建议使用精确断点时把LE和GE都设置为1。  
    LEN0到LEN3:指定调试地址寄存器DR0到DR3对应断点所下断的长度。如果R/Wx位为0(表示执行断点),则LENx位也必须为0(表示1字节),否则会产生不确定的行为。LEN0到LEN3其可能的取值如下:
(1)00 1字节
(2)01 2字节
(3)10 保留
(4)11 4字节
R/W0到R/W3:指定各个断点的触发条件。它们对应于DR0到DR3中的地址以及DR6中的4个断点条件标志。可能的取值如下:
(1) 00 只执行
(2) 01 写入数据断点
(3) 10 I/O端口断点(只用于pentium+,需设置CR4的DE位,DE是CR4的第3位 )
(4) 11 读或写数据断点
    GD位:用于保护DRx,如果GD位为1,则对Drx的任何访问都会导致进入1号调试陷阱(int 1)。


补充|:
    1.寄存器数量的限制导致硬件断点最多只能同时存在4个,并且od在特定设置或者插件的影响下可能内部还会占用一两个用来辅助程序调试,导致可用数量十分有限。
    3.由于cpu的直接支持,硬件断点的效率是非常高的,给一个程序设置了硬件断点,在不触发的情况下,不会有肉眼可见的效率影响,毕竟只是写了个寄存器而已。

下面将使用OD来分析一个简单的程序:

源码:

.data
    szFmt db 'EAX=%d; ECX=%d; EDX=%d', 0

.code
start:
    mov eax, 11h
    mov ecx, 22h
    mov edx, 33h
    push eax
    push eax
    push ebx
    push ebx
    push edx
    push edx
    pop eax
    pop eax
    pop ebx
    pop ebx
    pop edx
    pop edx
    invoke crt_printf, addr szFmt, eax, ecx, edx
    ret
end start

在进行调试前查看硬件断点地址列表可知,此时没有创建过硬件断点:

这里写图片描述

快速找到入口点,当程序执行到如图所示时:
这里写图片描述

此时sp指向0019FF80,此处存放的是00000011,将内存数据跟随到0019FF80,并在此处设置硬件断点,断点类型为访问类型:
这里写图片描述

此时查看硬件断点:
这里写图片描述

在0X0019FF80地址处设置了一个硬件断点,按下F9,程序将在下次访问该地址数据的指令的下一条处断下,如图:
这里写图片描述
**程序断在了push EDX指令处,此时SP指向0x0019FF84,它的上一条指令 pop EDX访问了地址
0x0019FF80,即设下硬件断点的地方。**

文章参考了博客:
http://www.cnblogs.com/qintangtao/p/5686148.html
http://www.cnblogs.com/DreamOfGalaxy/articles/4491857.html

TeaIsCold
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反外挂模块
09-11
易语言一个很强大的反外挂模块 易语言一个很强大的反外挂模块
OD内存断点初步分析
BenChang的专栏
04-26 5063
通过ida静态分析和od动态分析od程序,初步了解内存断点的机制
[Debug] VisualStudio 数据断点 监控指定内存的写操作
felicityWSH的博客
03-03 4137
功能描述: 在vs中添加一个数据断点 设置指定的内存地址和内存长度后 如果代码中有对这段内存的写操作 vs会自动断点到对应的代码中 注意:与普通断点不同的是 添加数据断点需要在启动Debug运行程序后 才可以添加(因为添加时要设置内存地址 只有进程启动了才有确定的内存地址) 我用的最多的场景》 在模块A中定义了变量int a = 1; 没有任意地方在修改a的值 经历了几个世纪的运
linux内存地址断点,开发一个 Linux 调试器(三):寄存器和内存
weixin_42410566的博客
05-09 250
上一篇博文中我们给调试器添加了一个简单的地址断点。这次,我们将添加读写寄存器和内存的功能,这将使我们能够使用我们的程序计数器、观察状态和改变程序的行为。注册我们的寄存器在我们真正读取任何寄存器之前,我们需要告诉调试器一些关于我们的目标平台的信息,这里是 x86_64 平台。除了多组通用和专用目的寄存器,x86_64 还提供浮点和向量寄存器。为了简化,我将跳过后两种寄存器,但是你如果喜欢的话也可以选...
Linux ARM64硬件断点驱动实现及解析
qq_38384263的博客
08-19 1597
硬件断点是cpu自带的用于调试程序的断点,分为执行断点内存断点。比如ARM64架构,它有4个内存断点和6个执行断点。执行断点是最常见的断点类型,就是在某个程序地址处加断点,CPU运行到这里时就会触发,而内存断点是,在某个内存地址处加断点,当CPU访问这块内存时就会停下来。硬件断点与软件断点的不同之处也在于此,硬件断点可以使用内存断点,而软件断点无法实现内存断点。Linux内核里也自带硬件断点模块,只需要开启如下选项即可。 Linux内核自带的硬件断点是跟很多业务捆绑的,开启硬件断点就要把这些业务都打开。
OllyDbg(OD)使用教程
03-06
游戏外挂与反外挂,游戏安全类,软件破解,软件暴力破解。。。必不可少的工具之一课程目录:01.OllyDbg的界面和配置02.常用快捷键03.爆破一个软件演示下OllyDbg的基本操作04.常用断点之INT3断点原理解析05.INT3断点的反调试与反反调试06.常用断点硬件断点原理解析07.常用断点内存断点原理解析08.常用断点之消息断点原理解析09.常用断点之条件断点原理解析10.内存访问一次性断点和条件记录断点11.Run trace 和 Hit trace12.调试符号13.常见插件介绍14.插件的编写
内存断点介绍
weixin_43046297的博客
03-03 2793
一、设置内存断点 1.选中一条指令,右键–数据窗口中跟随,有许多选项 (1)选择 (2)内存地址 (3)立即数 (4)堆栈隐含地址… 分别可以跟到不同的内存地址,比如选择立即数,就是跟到立即数所在的内存地址,选择,就会跟到选择的指令所在的内存地址…到时候自己可以看一看试一下 2.在内存中选择一段内存,右键–断点内存访问 只要对这段内存进行了读、写、访问等等,就会断下 内存断点没有地方帮你记录,得...
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 1851
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
检测当前进程是否存在硬件断点
把梦想放飞在蓝色的天空里...
09-18 3070
当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬断的方式来间接修改。 以下代码片段为了检测当前进程是否存在硬件断点而写: char buff[MAX_PATH] = {0}; DWORD __stdcall ThreadFunc(void* param) { DWORD dwID = GetCurrentProcessId(); HANDLE hSnap = Creat
Android hook、检测及对抗相关
jinganggiao的博客
09-19 3056
frida——hook 内存访问断点
ollydbg中的内存断点硬件断点有什么区别? - 知乎1
08-03
1.在windows系统上,内存是一页一页的,也就是说并不是 2.每个内存页都是有属性的,比如你申请时可以要求当前页面里的内容不可作为代码执行,因为你 3.调试
软断、硬断、内存断三类断点详解
01-15
本文通过详细整理在攻击实验中学习到的断点知识,对软件断点硬件断点内存断点从原理以及应用上做了详细的介绍,以供大家学习。
逆向分析基础 OllyDBG 入门系列(四)-内存断点
05-09
逆向分析基础 OllyDBG 入门系列(四)-内存断点
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
76.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点内存断点_网络_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计.xd
04-23
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计
这是我为某科技创新大赛所做的作品,一个残疾人鼠标,用头操纵。.zip
04-23
这是我为某科技创新大赛所做的作品,一个残疾人鼠标,用头操纵。
Company_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
Company_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计
veh 硬件断点使用例子
07-10
在VEH机制中使用硬件断点可以帮助我们在特定的内存地址上设置断点,当程序执行到该地址时触发断点异常。以下是一个使用硬件断点的VEH例子: ```c++ #include <Windows.h> // Vectored Exception Handler函数 LONG WINAPI VehHandler(PEXCEPTION_POINTERS pExceptionInfo) { // 判断是否是硬件断点异常 if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) { // 处理硬件断点触发逻辑 // ... // 取消硬件断点,恢复程序执行 CONTEXT* pContext = pExceptionInfo->ContextRecord; pContext->Dr0 = 0; pContext->Dr7 &= ~0x00000001; // 返回处理结果,终止异常处理链 return EXCEPTION_EXECUTE_HANDLER; } // 返回继续搜索异常处理链 return EXCEPTION_CONTINUE_SEARCH; } int main() { // 注册Vectored Exception Handler PVOID pHandler = AddVectoredExceptionHandler(1, VehHandler); if (pHandler == NULL) { // 处理注册失败情况 // ... return 1; } // 设置硬件断点 CONTEXT context; memset(&context, 0, sizeof(CONTEXT)); context.ContextFlags = CONTEXT_DEBUG_REGISTERS; context.Dr0 = 0x12345678; // 设置断点地址 context.Dr7 = 0x00000001; // 设置断点条件和长度 if (!SetThreadContext(GetCurrentThread(), &context)) { // 处理设置硬件断点失败情况 // ... RemoveVectoredExceptionHandler(pHandler); return 1; } // 触发硬件断点 int* p = reinterpret_cast<int*>(0x12345678); *p = 42; // 移除Vectored Exception Handler RemoveVectoredExceptionHandler(pHandler); return 0; } ``` 在上述代码中,我们首先定义了一个VEH处理函数`VehHandler`,当异常发生时会被调用。在该函数中,我们判断异常类型是否为硬件断点异常(EXCEPTION_SINGLE_STEP),如果是,则执行我们定义的硬件断点触发逻辑。在本例中,我们取消硬件断点(清除Dr0和Dr7寄存器的相应位),并返回`EXCEPTION_EXECUTE_HANDLER`来终止异常处理链。 在`main`函数中,我们首先注册VEH处理函数,然后使用`SetThreadContext`函数设置硬件断点。通过设置`Dr0`寄存器为要设置断点的地址,设置`Dr7`寄存器来指定断点条件和长度。如果设置成功,则触发硬件断点,程序会在指定地址处触发断点异常。最后,移除VEH处理函数并结束程序。 请注意,硬件断点的使用需要注意调试器的干扰,因为调试器可能会使用硬件断点进行调试操作。因此,在实际应用中需要谨慎使用硬件断点,并根据具体需求进行详细的异常处理和错误处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值