1、Int3 断点(CC断点),运行到指令cc就产生int3中断。
2、硬件断点,通过调试寄存器DR,DR寄存器只能够存放4个地址,分别是DR0 DR1 DR2 DR3,所以硬件断点只能够存放4个;DR4 DR5保留, DR6 DR7用于存放这几个断点的相关属性。详细介绍DR寄存器的文章:http://hi.baidu.com/zzydog/blog/item/63e300fcfb91fe55d6887db5.html
3、内存断点,修改内存page的属性,是访问过程中产生中断。
研究OD中使用的断点,分情况讨论:
1)F2、shift+F2、shift+F4都是使用的int3断点,下断之后通过xuetr.exe软件查看应用软件钩子,可以看到
2)F4运行到指定的地址,这两个功能的实现,可能使用硬件断点,也会使用到int3断点。
a) 当调试寄存器DR0~3这四个寄存器有空余,那么F4会将指点的地址存入到调试寄存器中,并且设置“仅一次中断”。
b) 当调试寄存器DR0~3这四个寄存器都已经被占用了,那么OD就会使用int3断点,将指定地址的首个字节改为cc,运行到这个地址的时候产生中断,在中断处理中恢复这个字节。下次执行到这里时候,不会在中断了。
3)F8和F7这两个操作,确实不好检测,这里没有特别固定的方法,最好可以直接分析OD就比较好了。F7是设置EFLAG标志寄存器,将TF位设置为1,当执行完一条指令之后,就产生中断并且停止。F8是当DR寄存器有未使用的,就会利用DR寄存器来存储下一个要中断的地址,如果DR寄存器已经满了,那么就将下一个中断地址设置cc。
4)内存访问断点,记录下断的内存地址范围,将地址所在的PAGE属性设置为PAGE_NOACCESS,当被调试进程访问到这个PAGE,就会产生中断,中断处理判断访问地址是否在下断点的地址范围内,如果是就中断到这条指令。如果不是继续执行。内存写入断点也是类似,只是将PAGE的属性修改为PAGE_EXECUTE_READWRITE
1639
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
