【Windows系统编程】08.异常处理与异常Hook(软件断点Hook,硬件断点Hook)

已于 2023-08-29 19:37:59 修改
阅读量647 收藏 1
点赞数 2
分类专栏: Windows系统编程 文章标签: windows 安全
于 2023-08-19 21:19:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/132384370
版权

文章目录

异常处理

1.结构化异常SEH

#include <iostream>

int main()
{
    goto Exit;
    __try {
        //受保护节
        int a = 0;
        int b = 0;
        int c = a / b;
        std::cout << "触发异常" << std::endl;
    }
    /*
    EXCEPTION_CONTINUE_EXECUTION (-1) 异常已消除。 从出现异常的点继续执行。
    EXCEPTION_CONTINUE_SEARCH (0) 无法识别异常。 继续向上搜索堆栈查找处理程序,首先是所在的 try-except 语句,然后是具有下一个最高优先级的处理程序。
    EXCEPTION_EXECUTE_HANDLER (1) 异常可识别
    */
    //__except (1){
    //    std::cout << "SEH 异常" << std::endl;
    //}
    __finally {
        //终止处理程序,如果程序异常退出,将会执行
        std::cout << "异常退出" << std::endl;
    }
    std::cout << "程序即将退出" << std::endl;
Exit:
    std::cout << "正常退出" << std::endl;
}

2.向量化异常VEH:

_EXCEPTION_POINTERS:包含一个异常记录,其中包含异常的计算机独立描述,以及一个上下文记录。

typedef struct _EXCEPTION_POINTERS {
  PEXCEPTION_RECORD ExceptionRecord;
  PCONTEXT          ContextRecord;
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

ExceptionRecord:

其中,ExceptionRecord指向了有关异常说明的PEXCEPTION_RECORD结构体指针:

typedef struct _EXCEPTION_RECORD {
  DWORD                    ExceptionCode;
  DWORD                    ExceptionFlags;
  struct _EXCEPTION_RECORD *ExceptionRecord;
  PVOID                    ExceptionAddress;
  DWORD                    NumberParameters;
  ULONG_PTR                ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD;

其中,Exception:发生异常的原因,这是由硬件异常生成的代码,常见错误都有宏

ExceptionFlags:异常标志

ExceptionRecord:指向相关联的指针,这是一个链状结构

ExceptionAddress:发生异常的地址

NumberParameters:与一场关联的参数的个数

ExceptionInformation:描述异常的其他参数的数组

ContextRecord:

其中ContextRecord指向了发生异常时,处理器状态的说明(上下文)

#include <iostream>
#include <Windows.h>

LONG MyVEHCallBack(
	struct _EXCEPTION_POINTERS *ExceptionInfo
) {
	//向量化异常需要我们自己选择处理方式,以及是否回去
	//异常代码
	DWORD dwCode = ExceptionInfo->ExceptionRecord->ExceptionCode;
	//判断接收到的是什么异常
	if (dwCode == EXCEPTION_BREAKPOINT) {
		//异常处理
		std::cout << "This is Int3" << std::endl;
		system("pause");
		//我们这里想处理异常后,回去,继续执行后面的代码
		//EIP 指令指针寄存器,保存了下一行要执行的位置
		//我们将EIP+1,就会执行后面的代码了
		ExceptionInfo->ContextRecord->Eip += 1;
		//返回,继续执行
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	return EXCEPTION_CONTINUE_EXECUTION;
	return 0;
}

int main()
{
	/*
	//线程上下文获取
	CONTEXT ctx;
	GetThreadContext(GetCurrentThread(), &ctx);
	//设置线程上下文
	ctx.Dr0 = 111;
	SetThreadContext(GetCurrentThread(), &ctx);
	*/

	//注册向量异常处理程序
	AddVectoredExceptionHandler(
		0,      //调用处理程序的顺序,程序第一个处理异常还是最后处理异常
		(PVECTORED_EXCEPTION_HANDLER)MyVEHCallBack   //指向要调用处理程序的指针,实际上就是我们定义的处理异常函数
	);

	//这里我们使用汇编,触发一个int3断点
	//int3 软件断点 0xCC
	_asm {
		int 3
	}

	std::cout << "异常之后的代码" << std::endl;

	system("pause");
	return 0;
}

异常Hook:

会了异常处理,这里我们来看一种基于异常的Hook:

VEH软件断点HOOK

思路:我们将API实现的第一个字节改为int3断点,然后我们捕获异常,处理这个异常,将API参数修改掉

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

ULONG_PTR MessageBoxProc = (ULONG_PTR)GetProcAddress(GetModuleHandle(L"User32.dll"), "MessageBoxW");

struct _EXECEPTION_HOOK {
	//保存要Hook的地址
	ULONG_PTR ExceptionAddress;
	//原来位置的代码/硬编码
	UCHAR OldCode;
};

_EXECEPTION_HOOK HookInfo;

//这里实际上是设置int3断点
VOID SetVEHHook(ULONG_PTR ProcAddress) {
	DWORD dwProtect = 0;
	VirtualProtect((LPVOID)ProcAddress, 1, PAGE_EXECUTE_READWRITE, &dwProtect);
	//要Hook的地址,就是我们获取的API函数地址
	HookInfo.ExceptionAddress = ProcAddress;
	//函数地址上取一字节,就是原来的硬编码
	HookInfo.OldCode = *(UCHAR*)ProcAddress;
	//将函数内部第一个字节修改位int3
	*(UCHAR*)ProcAddress = 0xCC;
	//修复内存保护属性
	VirtualProtect((LPVOID)ProcAddress, 1, dwProtect, &dwProtect);
}

//这里才是真正的Hook(修改API参数)
LONG VEHHook(
	struct _EXCEPTION_POINTERS *ExceptionInfo
) {
	if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT) {
		if ((ULONG_PTR)ExceptionInfo->ExceptionRecord->ExceptionAddress == HookInfo.ExceptionAddress) {
			const WCHAR* szStr = L"我被Hook了";
			*(DWORD*)(ExceptionInfo->ContextRecord->Esp + 8) = (DWORD)szStr;
			ExceptionInfo->ContextRecord->Eip += 2;
			return EXCEPTION_CONTINUE_EXECUTION;
		}
	}
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		AddVectoredExceptionHandler(1, (PVECTORED_EXCEPTION_HANDLER)VEHHook);
		SetVEHHook(MessageBoxProc);
		break;
    case DLL_THREAD_ATTACH:
		break;
    case DLL_THREAD_DETACH:
		break;
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

Hook测试:

先运行目标程序(前面讲InlineHook的时候有源码)

注入我们刚生成的dll:

注入dll
Hook成功:

Hook成功

VEH硬件断点HOOK

断点寄存器

下断点需要保存地址:保存到DR0~DR3(断点地址寄存器)

开关:DR7 : 07(L:局部,G:全局)03对应DR0~3

类型:R/W读写域 0~3 (DR0~DR3)占两位

四种状态:

00:执行时断下来(硬件执行断点)

01:写数据的时候断下来(硬件写入断点)

10:I/O终端

11:读写数据的时候都断,但是读指令不断(硬件访问断点)


长度LEN域03(DR0DR3)

四种状态

00:断点一字节长

01:断点2字节长

10:断点8字节长

11:断点4字节长


GD:启用访问检测功能:

如果开启了此位,当修改DR系列寄存器的时候,CPU会触发异常


DR6:

B0~B3:某一组

如果B0被设置为1,说明DR0的R/W,LEN位都被满足条件了

VEH硬件断点优势:不修改内存,如果有内存检测,就不会触发

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

ULONG_PTR MessageBoxProc = (ULONG_PTR)GetProcAddress(GetModuleHandle(L"User32.dll"), "MessageBoxW");

struct _EXECEPTION_HOOK {
	//保存要Hook的地址
	ULONG_PTR ExceptionAddress;
	//原来位置的代码/硬编码
	UCHAR OldCode;
};

_EXECEPTION_HOOK HookInfo;

//这里实际上是设置int3断点
VOID SetVEHHook(ULONG_PTR ProcAddress) {
	DWORD dwProtect = 0;
	VirtualProtect((LPVOID)ProcAddress, 1, PAGE_EXECUTE_READWRITE, &dwProtect);
	//要Hook的地址,就是我们获取的API函数地址
	HookInfo.ExceptionAddress = ProcAddress;
	//函数地址上取一字节,就是原来的硬编码
	HookInfo.OldCode = *(UCHAR*)ProcAddress;
	//将函数内部第一个字节修改位int3
	*(UCHAR*)ProcAddress = 0xCC;
	//修复内存保护属性
	VirtualProtect((LPVOID)ProcAddress, 1, dwProtect, &dwProtect);
}

//这里才是真正的Hook(修改API参数)
LONG VEHHook(
	struct _EXCEPTION_POINTERS *ExceptionInfo
) {
	if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT) {
		if ((ULONG_PTR)ExceptionInfo->ExceptionRecord->ExceptionAddress == HookInfo.ExceptionAddress) {
			const WCHAR* szStr = L"我被Hook了";
			*(DWORD*)(ExceptionInfo->ContextRecord->Esp + 8) = (DWORD)szStr;
			ExceptionInfo->ContextRecord->Eip += 2;
			return EXCEPTION_CONTINUE_EXECUTION;
		}
	}
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		AddVectoredExceptionHandler(1, (PVECTORED_EXCEPTION_HANDLER)VEHHook);
		SetVEHHook(MessageBoxProc);
		break;
    case DLL_THREAD_ATTACH:
		break;
    case DLL_THREAD_DETACH:
		break;
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

Hook测试:

先运行目标程序

注入dll:

注入dll
Hook成功:
Hook成功

Shad0w-2023
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
代码实战硬件断点hook
01-18 1043
代码实战硬件断点hook
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 2938
这里设置4个硬件断点后,还可以通过int 3实现软件断点软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook软件断点将会留在2.3章实战中演示具体操作。
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2117
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
VEH HOOK
Doub1's Blog
04-10 1831
相关函数 我们只需要用到 AddVectoredExceptionHandler 设置VEH异常捕获 PVOID WINAPI AddVectoredExceptionHandler( _In_ ULONG FirstHandler, _In_ PVECTORED_EXCEPTION_HANDLER VectoredHandler ); U...
易语言HOOK异常处理
07-22
"New_SE_Handler"可能是一个新的结构化异常处理程序,结构化异常处理(SEH)是Windows操作系统中的一个特性,用于处理硬件软件异常。 "GetSeAddr"可能是获取异常发生时的地址函数,这对于分析异常原因和定位问题...
2.VT调试器之无限硬件断点.rar
10-20
软件断点相比,硬件断点不涉及指令的修改,因此更不易被反调试技术检测到,也更稳定。 VT调试器的一大优势就是提供了无限硬件断点。在大多数传统调试器中,由于硬件资源限制,通常只能设置有限数量的硬件断点...
int3-Hook.rar_INT3HOOK.cpp_hook_int3_vc hook INT3_visual c
09-24
【标题】"int3-Hook.rar_INT3HOOK.cpp_hook_int3_vc hook INT3_visual c" 涉及的是一个关于Windows编程中的钩子技术,特别是使用INT3指令进行钩子实现的相关内容。在这个项目中,开发者可能使用了C++语言(vc即...
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
《D3D8劫持与CRC校验:深入解析与硬件断点调试》 D3D8,全称为Direct3D 8,是微软开发的一种图形API,用于处理3D图形渲染。在游戏开发和逆向工程领域,D3D8劫持是一种常见的技术手段,用于监控或修改游戏中的特定...
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API大牛就别来吐槽了 只在XP WIN7 X32 下测试通过
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
c++硬件断点使用示例
03-18
c++硬件断点使用示例,喜欢调试的同学可以参考一下,应该有用!
页面异常反dump 及 内存访问异常hook
零点起步
04-15 2290
第七章:应用层保护 加密,加壳,反调试,混淆。。。 静态保护:去静态特征,去字符串,全局指针等。 动态保护: 在dump模块的方法中,一般会调用ReadProcessMemory来读取,可以修改PE结构中可选头中的ImageOfSize,还有抹去PE头的方法干扰,但对指定基址和大小就无效。 修改页面访问属性为PAGE_NO_ACCESS可以反dump. 修改代码方式的HOOK很难绕过代
17_页面异常接管
leibso的博客
10-22 197
页面异常捕获过滤: 原理: 在 IDT 表中的e 号 处理 是 页面异常处理; 如果 我们 hook 掉 这个回调函数;那么就能获得全部的页面异常;再通过 cr3 对比 捕获指定的 cr3 (进程)的信息;最后再共享的区域将数据输出;然后测试程序获取该自己的页面异常信息; 实验中 容易出现的错误: 在 c 的时候注意将使用的寄存器(这里是eax)先保存起来;注意 通过栈保存 eax...
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 4675
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3171
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hook:VT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
软件断点硬件断点的区别和数量限制
liu_Zzr的博客
12-03 4012
软件断点硬件断点的区别和数量限制 所有的ARM7/ARM9芯片,内部有2个断点单元。断点单元可以用于设置硬件断点或是软件断点。 先说说硬件断点软件断点的区别。硬件断点是通过监测地址来触发断点的。所以,硬件断点可以设置在任何地方,不管是FLASH,ROM还是RAM,只要给定地址就可以了。而软件断点是通过监测特定的指令来触发断点的。在某个地址设置软件断点的时候,仿真器会将这个地址的数据/指令替换成...
VEH软件断点硬件断点Hook管理
qq_40363731的博客
03-27 362
【代码】VEH软件断点硬件断点Hook管理。
iOS越狱开发 常用检测Hook 代码 闪退检测断点
最新发布
05-05
在iOS越狱开发中,常用的Hook检测包括以下几种: 1. 检测当前进程是否被其他进程注入 ``` void anti_injection() { char path[1024]; int ret = proc_pidpath(getpid(), path, sizeof(path)); if (ret <= 0) { NSLog(@"anti_injection: proc_pidpath failed"); exit(1); } if (strstr(path, "/Library/MobileSubstrate") != NULL) { NSLog(@"anti_injection: MobileSubstrate detected"); exit(1); } if (strstr(path, "/Library/Frameworks/CydiaSubstrate.framework") != NULL) { NSLog(@"anti_injection: CydiaSubstrate detected"); exit(1); } } ``` 2. 检测是否被调试 ``` void anti_debugging() { int name[4]; struct kinfo_proc info; size_t info_size = sizeof(info); name[0] = CTL_KERN; name[1] = KERN_PROC; name[2] = KERN_PROC_PID; name[3] = getpid(); if (sysctl(name, 4, &info, &info_size, NULL, 0) == -1) { NSLog(@"anti_debugging: sysctl failed"); exit(1); } if (info.kp_proc.p_flag & P_TRACED) { NSLog(@"anti_debugging: traced"); exit(1); } } ``` 3. 检测是否被hook ``` void anti_hooking() { const char *functionName = "ptrace"; void *handle = dlopen("/usr/lib/libc.dylib", RTLD_GLOBAL | RTLD_NOW); if (handle == NULL) { NSLog(@"anti_hooking: dlopen failed"); exit(1); } void *ptrace_func = dlsym(handle, functionName); if (ptrace_func == NULL) { NSLog(@"anti_hooking: dlsym failed"); exit(1); } if (ptrace_func != (void *)&ptrace) { NSLog(@"anti_hooking: hook detected"); exit(1); } } ``` 4. 检测是否被注入Cycript等调试工具 ``` void anti_cycript() { char *cycript = strstr(getenv("DYLD_INSERT_LIBRARIES"), "cycript"); if (cycript != NULL) { NSLog(@"anti_cycript: cycript detected"); exit(1); } } ``` 此外,还可以在代码中添加闪退检测断点,当程序发生闪退时就可以打断点进行调试,例如: ``` void crash_handler(int signal) { signal(SIGTRAP, NULL); NSLog(@"crash_handler: signal=%d", signal); exit(1); } void set_crash_handler() { signal(SIGTRAP, crash_handler); } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值