windbg入门初探心得之--ZwContinue之后给启动新启动的线程下断点绕过反调试技术

最新推荐文章于 2023-08-04 18:09:44 发布
最新推荐文章于 2023-08-04 18:09:44 发布
阅读量1.7k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/114183105
版权

最近在用wgdbg逆向MFC程序,windbg打开的程序一开始进去的时候是会停在ntdll.dll的0xcc也就是int 3处。
在这里插入图片描述
之后一边查看栈一边step in和step out,希望能够结束程序的初始化流程,尽快到达程序入口点,当然对于有经验的师傅来说直接使用bp $exentry 就能够直接下断在程序入口点。但对于我这种小白来说,喜欢一步步调试,那么我们继续走起。
很快啊,我们看到程序进到了一个函数:
KiUserApcDispacher,在这个函数里面,我们又进入了,ZwContinue,step into 看看:
在这里插入图片描述
之后又从ZwContinue跳到了KiFastSystemCall
在这里插入图片描述
进入到这个系统调用之后,后面就是内核态的代码了,windbg就不能访问,我们就只能等到内核态的代码结束返回到用户态的时候才能继续单步调试,但问题是我继续按下step into之后后面的程序系统调用完就一直跑下去了,我的调试器根本就没办法跟进上去,这是为什么呢?
后来我查到了这个帖子,并在black binary师傅的指导下了解到,windows x86程序下软件断点到本质是在下断点处到内存里写入0xcc,而step into单步调试到本质则是通过设置cpu的flag 寄存器里面陷阱标志T位来实现的。
程序在进入到ZwContinue这个函数之后会通过系统调用启动一个新的线程并清空我们flag寄存器里面的陷阱标志T位,导致接下来我们的程序就不能单步调试了,相当于go继续执行。

在那个帖子里面,我们可以了解到ZwContinue这个函数的作用是启动新线程,其中第一个参数IN PCONTEXT ThreadContext是一个结构体,表示的是新线程的信息,而在这个结构体里面,有个成员叫做eip会表示新线程的起始地址,我们只要使用命令bp address给他下断就可以了。
那么这个结构体的情况如何呢?我们就要去ntddk.h头文件里面去找了:

typedef struct _CONTEXT {
  ULONG              ContextFlags;
  ULONG              Dr0;
  ULONG              Dr1;
  ULONG              Dr2;
  ULONG              Dr3;
  ULONG              Dr6;
  ULONG              Dr7;
  FLOATING_SAVE_AREA FloatSave;
  ULONG              SegGs;
  ULONG              SegFs;
  ULONG              SegEs;
  ULONG              SegDs;
  ULONG              Edi;
  ULONG              Esi;
  ULONG              Ebx;
  ULONG              Edx;
  ULONG              Ecx;
  ULONG              Eax;
  ULONG              Ebp;
  ULONG              Eip;
  ULONG              SegCs;
  ULONG              EFlags;
  ULONG              Esp;
  ULONG              SegSs;
  UCHAR              ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];
} CONTEXT;

这个结构体里面的ULONG都是4字节的,而里面的FLOATING_SAVE_AREA的数据就要在winsdk的nti386.h查了:

typedef struct _FLOATING_SAVE_AREA {
    ULONG   ControlWord;
    ULONG   StatusWord;
    ULONG   TagWord;
    ULONG   ErrorOffset;
    ULONG   ErrorSelector;
    ULONG   DataOffset;
    ULONG   DataSelector;
    UCHAR   RegisterArea[SIZE_OF_80387_REGISTERS];
    ULONG   Cr0NpxState;
} FLOATING_SAVE_AREA;

这里的SIZE_OF_80387_REGISTERS是80大小。
而我们恰好在这个图里面call zwcontinue之前有push edi,这个edi自然就是我们这个结构体的地址:
在这里插入图片描述
我们使用命令dd edi看一下edi指向的结构体的内容:
在这里插入图片描述
可以看到edi开始的00010017对应的是结构体里面的ContextFlags。再根据这个图简单算一下,edi+0xb8就是结构成员的ULONG Eip;的值。
可以看到dd edi+0xb8的结果是7c8106f5
那么我们只要在这个地址下断点就好了。
一开始我用的是命令bp edi+b8下断点后来发现这实际上是下断点到栈上面去了,这相当于在栈上面插入0xcc。
这就导致了我后来的这个报错:

(720.474): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00456ada ebx=7ffd5000 ecx=020fa685 edx=00000082 esi=00c5f76a edi=00c5f6ee
eip=7c8106cc esp=0012fffc ebp=00000280 iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00010202
kernel32!CreateThread+0x5:
7c8106cc ff751c push dword ptr [ebp+1Ch] ss:0023:0000029c=???

这个报错在还没到达断点0x7c8106f5的时候就发生了。
在这里插入图片描述

正确的下断点方法应该是断在栈上面的这个指针指向的地址,也就是使用命令bp 7c8106f5即可。
之后就可以愉快的继续从断点单步了:
在这里插入图片描述

这是一个普通pe程序的初始化过程,可能很多师傅调试的时候直接从入口点开始调,就没注意这些细节,但事实上这些细节可以拿来做反调试,比如你在程序段里面手动调用ZwContinue那么就能够清空你的陷阱信息,让你不能单步调试,这也就是为什么那个帖子的名字叫做"绕过ZwContinue"。

fjh1997
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ReactOS SYSCALL_PROLOG/TRAP_EPILOG及相关代码注释 (2) --ZwContinue
lixiangminghate的专栏
02-22 1152
ReactOS SYSCALL_PROLOG/TRAP_EPILOG及相关代码注释 (1) 一文中提到了KTRAP_FRAME,TRAP_EPILOG使用保存在这个结构中的Eip返回到被中断的指令继续执行。
以前写过的文章----用windbg内核模式调试用户态程序
weixin_33913377的博客
03-22 351
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Windbg 添加断点调试程序
cwei231的博客
04-17 751
windbg 设置断点,以及相关的指令
Windbg 查看MFC类重载虚函数
TMS_LI的专栏
09-07 2689
Windbg 查看MFC类重载虚函数 1.进入断点后,查看类的虚函数表指针:   2.编写脚本,用于汇编虚函数表中的各个虚函数地址: 方法1: $$usage: $$>a<script.txt address .foreach ( tmpvar { dd ${$arg1} L64 } ) { .if ( ${tmpvar} < ${$arg1} ) { uf
MFC程序自动生成dump Windbg文件
diaoquan4385的博客
12-16 315
  在客户机器上如何得到应该程序的详细出错信息, 这里使用drwtsn32,在应用程序崩溃的时候自动将调用栈的信息以文件形式保存在磁盘。   生成dump有drwtsn32, NTSD,CDB等多种工具,drwtsn32 于系统自带。   在项目中使用以下几个步骤: 1. 创建minidmp.h   minidmp.h #pragmaonce#include<...
windbg调试uefi在hyper-v全套资源
最新发布
02-20
Set-VMComPort -VMName dbguefiisov2 -Path \\.\pipe\windbg -Number 1 修改 C:\Program Files (x86)\Intel\Intel(R) UEFI Development Kit Debugger Tool\SoftDebugger.ini [Debug Port] Channel = Pipe Port = ...
windbg-cheat-sheet:我使用WinDbg进行内核调试的个人备忘单
04-27
内核调试WinDbg备忘单我使用WinDbg进行内核调试的个人备忘单。 当我使用WinDbg进行操作时,本备忘单/迷你指南也会更。内核调试设置安装调试工具要使用windbg,您必须安装。 我建议从Windows应用商店安装Windbg...
驱动开发入门-之二:Win7x64 - WinDbg 双机调试环境搭建
10-14
本文介绍如何在Win7x64环境下使用WinDbg搭建双机驱动调试环境
windbg调试工具windbg-10.0.18.zip
10-24
Windbg是一款由微软开发的强大调试工具,主要用于对Windows操作系统下的应用程序进行调试和分析。它集成了丰富的调试功能,包括但不限于崩溃分析、内存检测、线程分析、模块加载、符号解析等,是软件开发者、系统...
[微软工具] 基于WinDbg的内存泄漏分析 - 比较复杂情况下调试
08-13
2. **启动WinDbg**: 使用WinDbg附加到目标进程,可以实时观察内存分配和释放的情况。WinDbg提供了强大的命令行接口,如`!heap -s`命令可以显示堆概览,`!heap -flt s`命令可以筛选特定大小或状态的内存块。 3. **...
windbg 调试
MFCJCK的专栏
05-05 452
cdb.exe -srcpath  [source file path] -y [.pdb file path] -z [dump file] -lines-lines 用于加载对应的源文件位置
Anti-Attach 防止调试器附加
LLC
08-16 5916
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》 看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案, 发现书上写了这样一句话: Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon
逆向时如何找到MingGW(GNU)编译程序的main函数
輚至消亡
08-04 1000
为了探究里面究竟怎么回事, 我找到了wrk-v1.2的源码, 其中包含了ZwContinue的实现, 首先先看一下注释, API界面包含了2个参数, 其中让人感兴趣的是PCONTEXT, 这是一个线程上下文环境, 其中包含了线程的执行环境, 也许main函数主线程就是位于这个上下文环境中。方便让线程继续运行。编译器是MingGW生成的可执行文件的显著特点是, 最终运行ZwContinue后程序就莫名其妙启动了, 也找不到main函数。先忘了原本的目的, 既然都来了, 看一下这个API的实现。
APC异步过程调用
kernweak的博客
09-03 2422
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
C# 实现shellcode 进程启动注入eip注入
记事本
01-07 2284
首先说下代码原理   1.使用CreateProcess 创建一个带 CREATE_SUSPENDED标记的进程 自然进程创建加载完DLL后会被挂起。 CREATE_SUSPENDED 标记本是为调试器准备的。 2.然后用GetThreadContext获取该进程的线程上下文,保存下来(重要)。。。。 3.用VirtualAllocEx 在进程空间申请一段 dll路径长度 + 32字节的内
Win32调试API原理
hackwaly的专栏
03-26 4233
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程的内存、线程
VEH,VCH,UEF Windows向量化异常处理机制详解
MyCserSoft的专栏
06-22 5737
最近在搞的SR,因为涉及到Windows下的异常处理机制
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 702
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
Zw 系列函数
huanongying131的博客
11-19 3611
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
Windbg中文调试手册
04-26
"Windbg中文调试手册提供了关于安装、使用和调试Windows操作系统的详细指南,特别是针对Windbg这款强大的调试工具。Windbg是用于分析故障转储、调试用户模式和内核模式代码的重要工具,支持最的操作系统版本和多种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值