寻找0XCC软件断点

最新推荐文章于 2021-11-15 15:02:57 发布
最新推荐文章于 2021-11-15 15:02:57 发布
阅读量976 收藏
点赞数
分类专栏: 逆向 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/45312005
版权
本文探讨了在黑客防御测试中如何利用FASM汇编器寻找和处理0xCC软件断点。通过获取PEB,计算出镜像基地址和大小,然后创建线程并遍历内存来寻找0xCC指令,最终将其替换或记录。
摘要由CSDN通过智能技术生成


配合反汇编引擎效果出奇;

Here is what I see in hacker defense testing 0xCC software breakpoints

;I write it with FASM assembler

include 'win32ax.inc'

use32

entry start

section '.text' code readable executable

start:

push ebp

mov ebp,esp

mov eax,[fs:30h] ;peb

mov ebx, dword[eax+08h] ;Imagebase

mov dword [imagebassaddress],ebx

mov eax,[eax+0ch]

mov eax,[eax+0ch]

mov ebx, dword [eax+20h] ;sizeofimage

mov dword [sizeofimage],ebx

invoke CreateThread,NULL,NULL,fuckocc,NULL,0,NULL


fucknima:

mov ecx,10

loop fucknima

mov esp,ebp

pop ebp

invoke exit,NULL

fuckocc:

;Function implementation

push ebp

mov ebp,esp

fuckcc_loop:

mov al,0xcc

mov edi,dword [imagebaseaddress];get ima

最低0.47元/天 解锁文章
qq_18942885
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字符值为0xcc
11-19 6267
0xcc  16进制数,相当于十进制的204未初始化的变量DEBUG模式下运行时,未初始化的变量会被系统赋初值为0xCC未初始化的变量会被系统赋初值为0xCC,超过了ASCII码0-127这个范围,因此这个“字符串”被系统当成了宽字符组成的字符串,即两个字节数据组成一个字符,而0xCCCC表示的宽字符正好是乱码中的那个“烫”字。烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫是debug中未初始化的栈变量屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯是debug中未初始化的堆变量referen
0xcc
suhuaiqiang_janlay的专栏
11-09 2971
堆栈中的局部变量(包括指针)在明确初始化之前都用0x0cc进行初始化。这是编译器在作运行时检测用的,方便发现变量没有初始化、内存溢出的问题。       0xcc执行检测的原理:      (1)变量:如果没有给它初始化,那么值就是0xcc。      (2)指针:或者说内存,初始时赋给地址0xcc。这是一块内核的内存,一般情况下不能被操作的,因此,当发现对地址为0xcc的内存进行操作,就说明是非法的,提示溢出。      0xcc输出成字符就是“烫烫...”,这就是为什么未初始化的内存总显示“
CC断点检测
谢绝留言与私信
02-04 1619
前言以前看过CC断点的检测原理. 今天做脱壳练习时, 居然看到cm中有一个fnMessageBox函数中进行了CC断点检测.记录cm中的实际函数00FAF476 <fnMessageBoxEx> 55 push ebp 00FAF477 8BEC mov ebp, esp 00F
OD常用断点之CC断点
七夜的博客
05-06 734
  在做Windows平台软件逆向时,Ollydbg是极其常用的逆向工具,动态调试功能非常强大。在调试过程中,断点的使用有助于确定关键的破解位置,今天讲解的内容是OD常用断点中的CC断点。 CC断点有很多名称,比如普通断点、F2断点或者int3断点,每个名称都有它的来源。下面我们以crackme_01.exe为例子讲解一下如何设置CC断点以及其原理。   打开VM虚拟机,虚拟机中运行的...
CC断点介绍
weixin_43046297的博客
03-03 1799
一、 1.F2断点:普通断点、CC断点、int3断点 2.为什么叫CC断点呢? 可以通过调试看出来,我们在一个指令上下断点, 例如:je xxxx指令,这个指令机器码是74 01 我们在这里下断点 指令所在内存是0040101A,内存处存放的完整数据是74 01 C3 A1 然后我们将这条指令对应内存地址的内容复制到寄存器内:mov eax [0040101A] 按理说,eax内容应该是A1C3...
Xcc Nodes-开源
07-19
《Xcc Nodes:开源C/C++编程的利器》 在编程世界中,高效且便捷的开发工具至关重要。本文将深入探讨“Xcc Nodes”,这是一个专为Leo设计的开源跨平台C/C++编译器和调试器IDE GUI插件。这款插件以其强大的功能和灵活...
0xCC探测的c++代码
05-05
0xCC探测的c++代码
Ollydbg常用断点函数.rar
09-12
软件断点是通过修改指令代码实现的,将原指令替换为INT3(0xCC)中断指令,使得程序执行到此处时引发异常,进入调试器。在Ollydbg中,可以使用`DB`命令设置软件断点软件断点数量理论上没有限制,但过多的断点可能...
xcc
03-04
欢迎来到GitHub Pages 您可以使用的来维护和预览Markdown文件中网站的内容。 每当您提交到该存储库时,GitHub Pages都将运行从Markdown文件中的内容重建站点中的页面。降价促销Markdown是一种轻巧且易于使用的语法,...
XCC Code Doc Generator-开源
04-25
使用XCC Code Doc Generator,开发者无需手动编写复杂的文档,只需专注于代码注释,软件会自动处理剩下的工作。开源的特性意味着开发者可以自由地查看、修改和扩展其功能,以适应不同的项目需求。对于大型C++项目或...
反调试方法---0xCC检测--检验API断点实现反调试
YANG12345_6的博客
08-25 1015
反调试 0xCC检测 软件断点的原理:调试器在对应设置断点的位置上修改该地址的字节为0xCC。若是关键位置检测到该指令,可以判断进程处于调试状态。 0xCC既可以是INT 3指令,也可以是其他指令的操作数。 API断点 API断点一般下在API的首地址处或函数返回地址处。检查这些易被下端的地址首字节是否为0xCC就可以判断程序是否正在被调试 检验代码(以MessageBoxA函数为例): #include <Windows.h> #include<iostream> using na
内存被填充为0xcc
weixin_43891775的博客
01-04 660
内存被填充为0xcc VS2019如何查看内存 打断点 debug中选择调试->窗口->内存 VS2019查看变量地址 debug中查看右下角即时窗口 输入&变量名即可查看地址 内存填充为0xcc 随便写一段代码: #include <iostream> using namespace std; int main() { int a = 0; int b = 1; return 0; } 查看a变量附近的内存布局 查看变量b附近的内存布局 我们
禁止0xCC断点(最简单的反调试手段)
Ez_coder的博客
09-23 485
#include <iostream> #include <windows.h> using namespace std; int main() { FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr = GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); ...
debug版函数初始化入口 0xcc
Aegeaner的专栏
06-04 1402
在VC++编写的程序编程成Debug版,反汇编代码,函数入口处经常看到如下一段代码: 00EA14E0 55                push        ebp   00EA14E1 8B EC             mov         ebp,esp 00EA14E3 81 EC C0 00 00 00 sub         esp,0C0h 00EA14E9 53
调试原理机制
fa1c4的blog
03-09 385
其实非常简单, 对一个架构而言, 有一条表示断点的指令, 比如IA-32中是0xCC 执行程序时, 代码指令会放入内存, 为了实现断点, 只需要找到需要打断点的指令的起始地址, 把该地址的任意一个字节改成0xCC(IA-32架构下), 程序执行到该指令时就会中断. 为了恢复执行, 只需把指令恢复原值即可. ...
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 1977
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
探秘INT3指令
积累点滴,保持自我
11-15 8079
简介 本文转载自:探秘INT3指令 | 码农家园 INT3指令是专门用来支持调试的一条指令,它对应的机器码是0xCC。当cpu执行到这条指令是会产生异常并调用相应的异常处理程序(3号中断)进行进一步的处理。 详细分析 int3指令原理 cpu在指令完int3指令后会引发异常,此异常会使操作系统从中断向量表中调用3号中断处理程序,此中断处理程序即函数nt!KiTrap03( ),此函数进行一些处理后又会继续调用nt!KiDisPatchException( )函数来进行异常的分发。而此函数会先.
为何栈的初始化为0XCC
doubleintfloat的博客
11-13 6062
x86系列处理器从其第一代产品英特尔8086开始就提供了一条专门用来支持调试的指令,即INT 3,其机器码就是我们熟悉的0XCC,转换成十进制为-858993460,转换成汉字就是“烫”。简单地说,这条指令的目的就是使CPU中断(break)到调试器,以供调试者对执行现场进行各种分析。当我们调试程序时,可以在可能有问题的地方插入一条INT 3指令,使CPU执行到这一点时停下来。这便是软件调试中经常用
有关几个断点的总结
richard1230的博客
05-14 1951
软件断点(CC断点) 内存断点 硬件断点 单步断点 条件断点 消息断点 软件断点(CC断点) 使用readprocessmemory先保存第一个字节,而后writeprocessmemory将一个字节改为cc,然后执行一步,触发异常, writeprocessmemory将替换的字符恢复,eip-1; 内存断点 调试器:OllyDbg 环境:win10 64位真机 ...
visual studio中0xcc
最新发布
06-14
在Visual Studio中,0xCC(通常表示为0xCDCDCDCD)通常不是标准的调试输出,而是编译器或特定环境中的一个约定。它可能代表一种特殊的标记或状态,比如在一些教程中提到的,有些编译器可能会选择0xCC来指示内存中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值