利用DEBUG API编写Loader Path

最新推荐文章于 2023-12-07 22:32:31 发布
最新推荐文章于 2023-12-07 22:32:31 发布
阅读量74 收藏
点赞数
文章标签: 数据结构与算法 操作系统
原文链接:http://www.cnblogs.com/Red_angelX/archive/2007/05/08/738552.html
版权
    Loader并不是什么很神秘的技术,微软提供了一组Debug Api来方便第三方监视程序.这里我用Debug Api制作了一个简单的Loader程序.
   这个Loader要干的事有:
   1.启动目标程序.
   2.读取/修改目标程序的内存 或 寄存器
   用到的Debug Api有:
  CreateProcess —— 用于创建被调试进程
  WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数
  ContinueDebugEvent —— 用于构成Debug Loop
  GetThreadContext —— 得到被调试进程的寄存器信息
  SetThreadContext —— 设置被调试进程的寄存器信息
  ReadProcessMemory —— 得到被调试进程的内存内容
  WriteProcessMemory —— 设置被调试进程的内存内容
   相应的数据结构如下
  CONTEXT —— 寄存器结构
  STARTUPINFO —— Start信息
  PROCESS_INFORMATION —— 进程相关信息
  DEBUG_EVENT —— Debug Event(调试事件)结构
   Loader具体代码如下:
//  MemoryReader.cpp : 定义控制台应用程序的入口点。
 //  AntiDebug:IsDebugPresent如何避开?
 //  加壳处理不完善
 //
#include  " stdafx.h "
#include  " windows.h "
#include  " Commdlg.h "
#include  " winnt.h "

BYTE INT3  =   0xCC ;

 // 写入前的
BYTE Old;

 // 页面属性
DWORD OldProtect;

 // 是否已写入INT3
bool  HasINT3  =   false ;

 bool  IsFirstINT3  =   true ;

DWORD BreakPoint  =   0x00452191 ;

BYTE Org[ 8 =  { 0xE8 , 0x4E };

 // 判断是否解压完成
bool  IsUnpacked(PROCESS_INFORMATION pi)
{
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory( & context, sizeof (CONTEXT));
    context.ContextFlags  =  CONTEXT_FULL  |  CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread, & context);
    printf( " Exe Info:Eax:%x,Esp:%x,Eip:%x\n " ,context.Eax,context.Esp,context.Eip);        
    ResumeThread(pi.hThread);
    BYTE mem[ 8 ];
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,PAGE_READWRITE,  & OldProtect);
    ReadProcessMemory(pi.hProcess,(LPCVOID)BreakPoint, & mem, 8 ,NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,OldProtect, & OldProtect);
    printf( " hex num is:%x,%x,%x,%x\n " ,mem[ 0 ],mem[ 1 ],mem[ 2 ],mem[ 3 ]);
     if (mem[ 0 ^   0xff   ==  Org[ 0 &&  mem[ 1 ^   0xff   ==  Org[ 1 ])
    {
         // 不能乱调用
        Old  =  mem[ 0 ];
         return  TRUE;
    }
     return   false ;
}

 // 写INT3
bool  WriteINT3(PROCESS_INFORMATION pi)
{
     // VirtualAllocEx(pi.hProcess,(LPVOID)0x0101259b,sizeof(INT3), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    SuspendThread(pi.hThread);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,PAGE_READWRITE,  & OldProtect);
     bool  ret  =  WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint, & INT3, sizeof (INT3),NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,OldProtect, & OldProtect);
    HasINT3  =  ret;
    ResumeThread(pi.hThread);
     return  ret;
}

 // 改回去
bool  CleanINT3(PROCESS_INFORMATION pi)
{
     // SuspendThread(pi.hThread);
     bool  ret  =  WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint, & Old, sizeof (Old),NULL);
     if (ret  ==   false )
    {
        printf( " 改回去失败!\n " );
    }
    CONTEXT context;
    ZeroMemory( & context, sizeof (CONTEXT));
    context.ContextFlags  =  CONTEXT_FULL  |  CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread, & context);
    context.Eip -- ;
    SetThreadContext(pi.hThread, & context);

    printf( " 已经改回去了,Eax:%x\n " ,context.Eax);
     return  ret;
}

 // 隐藏Debug
void  HideDebug(PROCESS_INFORMATION pi)
{
    BYTE ISDEBUGFLAG  =   0x00 ;
     int  ISHEAPFLAG  =   2 ;
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory( & context, sizeof (CONTEXT));
    context.ContextFlags  =  CONTEXT_FULL  |  CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread, & context);
     // IsDebugPresent_Flag
    WriteProcessMemory(pi.hProcess,(LPVOID)(context.Ebx + 0x2 ), & ISDEBUGFLAG, 1 ,NULL);
     // NTGlobal_Flag  用0D则为70  这个为0 防止其他调试器存在
    WriteProcessMemory(pi.hProcess,(LPVOID)(context.Ebx + 0x68 ), & ISDEBUGFLAG, 1 ,NULL);
     // GetProcessHeap_Flag
    DWORD HeapAddress;
    ReadProcessMemory(pi.hProcess,(LPCVOID)(context.Ebx  +   0x18 ), & HeapAddress, sizeof (HeapAddress),NULL);
    WriteProcessMemory(pi.hProcess,(LPVOID)HeapAddress, & ISHEAPFLAG, sizeof (ISHEAPFLAG),NULL);

    ReadProcessMemory(pi.hProcess,(LPCVOID)(context.Ebx  +   0x68 ), & ISDEBUGFLAG, 1 ,NULL);
    printf( " NT_GLOBAL=%d\n " ,ISDEBUGFLAG);
    ResumeThread(pi.hThread);
}


 int  main( int  argc,  char *  argv[])
{
     char  f_name[ 256 ];
    f_name[ 0 =  NULL;
    OPENFILENAME filename;
    ZeroMemory( & filename, sizeof (OPENFILENAME));
    filename.lStructSize  =   sizeof (OPENFILENAME);
    filename.hwndOwner  =  NULL;
    filename.lpstrFilter  =   " *.exe " ;
    filename.lpstrFile  =  f_name;
    filename.nMaxFile  =   256 ;
    filename.lpstrInitialDir  =  NULL;
    filename.Flags  =  OFN_EXPLORER  |  OFN_HIDEREADONLY;
     if ( ! GetOpenFileName( & filename))
         return   0 ;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory( & si, sizeof (STARTUPINFO));
    ZeroMemory( & pi, sizeof (PROCESS_INFORMATION));
     bool  ret  =  CreateProcess(filename.lpstrFile, "" ,NULL,NULL,FALSE,DEBUG_PROCESS,NULL,NULL, & si, & pi);
     if (ret  ==   false )
    {
        MessageBox(NULL, " 创建进程失败! " , "" , 0 );
         return   - 1 ;
    }

     // Anti-Anti-Debug
    HideDebug(pi);

    DEBUG_EVENT devent;
     int  DllCount  =   0 ;
     while (TRUE)
    {
         if (WaitForDebugEvent( & devent, 1 ))
        {
             switch (devent.dwDebugEventCode)
            {
             case  CREATE_PROCESS_DEBUG_EVENT:
                printf( " CREATE_PROCESS_DEBUG_EVENTdot.gif\n " );
                 break ;
             case  CREATE_THREAD_DEBUG_EVENT:
                printf( " CREATE_THREAD_DEBUG_EVENTdot.gif\n " );
                 break ;
             case  EXCEPTION_DEBUG_EVENT:
                 // printf("EXCEPTION_DEBUG_EVENTdot.gif\n");
                  switch (devent.u.Exception.ExceptionRecord.ExceptionCode)
                {
                 case  EXCEPTION_BREAKPOINT:
                     if (HasINT3)
                    {    
                        SuspendThread(pi.hThread);
                        CONTEXT context;
                        ZeroMemory( & context, sizeof (CONTEXT));
                        context.ContextFlags  =  CONTEXT_FULL  |  CONTEXT_DEBUG_REGISTERS;
                        GetThreadContext(pi.hThread, & context);
                        printf( " Eax:%x\n,Esi:%x\n,Eip:%x\n,Ebp:%x\n " ,context.Eax,context.Esi,context.Eip,context.Ebp); 
                         if (context.Eip  ==  BreakPoint  +   1 )
                        {
                             if ( ! CleanINT3(pi))
                            {
                                printf( " 清除断点失败! " );
                            }

                            printf( " Program Stopped At What We Want\n " );
                             char  key[ 256 ];

                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,PAGE_READWRITE,  & OldProtect);
                            ReadProcessMemory(pi.hProcess,(LPCVOID)context.Edx,key, sizeof (key),NULL);
                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint, 1 ,OldProtect, & OldProtect);
                            
                            printf( " 读出来的东西是 %s\n " ,key);        
                        }
                        ResumeThread(pi.hThread);
                    }    
                     break ;
                 case  EXCEPTION_SINGLE_STEP:
                    printf( " 2 EXCEPTION_SINGLE_STEP\n " );
                     break ;
                 case  EXCEPTION_ACCESS_VIOLATION:
                    printf( " 读写地址出错\n " );
                    printf( " %d,%x\n " ,devent.u.Exception.ExceptionRecord.ExceptionInformation[ 0 ],devent.u.Exception.ExceptionRecord.ExceptionAddress);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);

 /*                     char Nop[3];
                    Nop[0] = 0x90;
                    Nop[1] = 0x90;
                    Nop[2] = 0x90;
                    PVOID pathAddress;
                    pathAddress = devent.u.Exception.ExceptionRecord.ExceptionAddress;
                    VirtualProtectEx(pi.hProcess,pathAddress,3,PAGE_READWRITE, &OldProtect);
                    WriteProcessMemory(pi.hProcess,pathAddress,Nop,3,NULL);
                    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);         */         
                     break ;
                 default :
                     break ;
                }
                 break ;
             case  LOAD_DLL_DEBUG_EVENT:
                 // 获取DLL NAME太复杂,暂时做不到
                DllCount  ++ ;
                printf( " %d,Program Loads a Dll From BaseImage:%x,ImageName:%x\n " ,DllCount,devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                 if ( ! HasINT3)
                {
                   if (IsUnpacked(pi))
                  {
                      printf( " UnPacked Success!!\n " );
                      WriteINT3(pi);
                      printf( " Write a INT3\n " );
                  }
                }
                 break ;
             case  UNLOAD_DLL_DEBUG_EVENT:
                printf( " UnLoad a Dll From BaseImage:%x,ImageName:%x\n " ,devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                 if ( ! HasINT3)
                {
                   if (IsUnpacked(pi))
                  {
                      printf( " UnPacked Success!!\n " );
                      WriteINT3(pi);
                      printf( " Write a INT3\n " );
                  }
                }
                 break ;
             case  OUTPUT_DEBUG_STRING_EVENT:
                 break ;
             case  EXIT_PROCESS_DEBUG_EVENT:
                printf( " 调试程序已退出 " );
                 break ;
             default :
                printf( " %d\n " ,devent.dwDebugEventCode);
                 break ;
            }
            ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_CONTINUE);
        }
         else
        {
        }
    }
     // KeyMake中不要这两句
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
     return   0 ;
}

       目前版本功能:
      1.启动目标程序
      2.向指定位置写入INT3断点
      3.读取/设置指定位置寄存器值
      4.读取/修改指定位置内存值
      5.解压一些压缩和加密壳
      6.一些Anti-Anti-Debug功能

转载于:https://www.cnblogs.com/Red_angelX/archive/2007/05/08/738552.html

weixin_30677073
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
实时 摔倒识别 /运动分析/打架等异常行为识别/控制手势识别等所有行为识别全家桶 原理 + 代码 + 数据+ 模型 开源!
热门推荐
cv君的博客
03-02 6万+
文章目录一、 基本过程和思想二 、视频理解还有哪些优秀框架三、效果体验~使用手势:python run_gesture_recognition.py健身_跟踪器:卡路里计算三、训练自己数据集步骤然后,打开这个网址:点击一下start new project但是官方的制作方法是有着严重bug的~我们该怎么做呢!原代码解读 大家好,我是cv君,很多大创,比赛,项目,工程,科研,学术的炼丹术士问我上述这些识别,该怎么做,怎么选择框架,今天可以和大家分析一下一些方案: 用单帧目标检测做的话,前后语义相关性很差(也有
DEBUG API写简单的Loader
Red_angelX的专栏
01-14 2724
         一直想做一个类似KeyMaker的Loader,能解壳,能读寄存器,读指定内存值,通宵了一晚上基本搞定         下面是代码:         // MemoryReader.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include "windows.h"#include "Commdlg.h"#include "w
jar包瘦身及-Dloader.path参数指定加载依赖包
宝宝大人的博客
12-18 1万+
jar包瘦身及-Dloader.path参数指定加载依赖包
classloader java 424_java – SpringBoot loader.path无法加载外部Jar
weixin_39963523的博客
03-03 934
我正在使用springboot作为webapp,我正在尝试设置一个外部目录,该目录将包含最终用户可能选择使用的各种JDBC驱动程序.要做到这一点,我补充说:loader.path=/opt/myapp/lib/到我的application.properties文件,这是由PropertySourcesPropertyResolver选取的2016-04-28 17:27:38.739 DEBUG ...
springboot项目使用loader.path启动服务时多版本依赖库引起的问题
CXW1014的专栏
02-02 1880
只知道是不同版本导致的问题,但我在build.gradle中明明指定了使用4.1.2版本的poi,为啥使用loader.path 加载的还是5.2.2版本的呢?文件为空,导致依赖库的版本信息缺失, 这样在启动的时候,类加载器碰到多个相同的类名时,按加载器中默认的规则选择其中一个,平时在部署springboot项目时,会发现jar包太大,单是一个项目还没啥影响,但项目多了之后这个问题就比较突出了。仔细对比了下包含依赖库打出的jar包与不含依赖库打出的jar包的区别, 发现没有依赖库的jar包中的。
灰帽子笔记--进程调试基础1:创建调试进程
3D模型素材库
07-28 555
为了对一个进程进行调试,你首先必须用一些方法把调试器和进程连接起来。所以,我们的调试器要不然就是装载一个可执行程序然后运行它,要不然就是动态的附加到一个运行的进程。 第一种方法,其实就是从调试器本身调用这个程序(调试器就是父进程,对被调试进程的控制权限更大)。 在 Windows 上创建一个进程用 CreateProcessA()函数 函数原型: BOOL WINAPI CreateProcessA( LPCSTR lpApplicationName, LPTSTR lpCommandLine, LPSE
webpack基础学习,各个loader和plugin的具体配置
znhyXYG的博客
02-23 2485
webpack的基本应用,详细描述常用的loader、plugin以及babel的使用,包含HMR模块热替换原理等
IntelliJ IDEA 的 debug 调试为什么这么强?我挖出了背后的技术
m0_67698950的博客
03-17 182
Debug 的好奇 初学 Java 时,我对 IDEA 的 Debug 非常好奇,不止是它能查看断点的上下文环境,更神奇的是我可以在断点处使用它的 Evaluate 功能直接执行某些命令,进行一些计算或改变当前变量。 刚开始语法不熟经常写错代码,重新打包部署一次代码耗时很长,我就直接面向 Debug 开发。在要编写的方法开始处打一个断点,在 Evaluate 框内一次次地执行方法函数不停地调整代码,没问题后再将代码复制出来放到 IDEA 里,再进行下一个方法的编写,这样就跟写 PHP 类似的解释性语
十九 python编写ansible命令脚本
神镖
07-16 971
在ansible官网文档查找python api ,根据例子,稍作修改,然后可以执行ansible命令. 官网文档地址:https://docs.ansible.com/ansible/2.7/dev_guide/developing_api.html?highlight=python api #!/usr/bin/env python import json import shutil fr...
公司的这种打包启动方式,我简直惊呆了
BASK2311的博客
11-19 467
大家都知道,SpringBoot应用最终会打出一个Fat Jar, 里面包含了用到的全部依赖,启动也非常简单,即可。但是我们公司打出的最终包,将依赖包挪到了外部,然后启动的时候通过指定依赖包的位置,如的方式启动,也能够启动成功。这样做最大的一个好处就是如果发现某个依赖出现问题,那么我只需要在libs替换其中某个依赖,影响范围可以减小很多。那大家是不是很好奇是怎么做到的呢?
给你的SpringBoot工程打的jar包瘦瘦身
弹指天下
05-31 9991
Spring boot默认方式打包,由于打的是全量依赖包(也称为fat包),不但打包慢,体积大,传输也慢,今天教大家给spring boot瘦瘦身。 背景 现在微服务架构越来越流行,一个项目10多个基于spring boot的服务模块很常见。假设一个服务模块打成jar包是100M,那么一次全量发布可能就需要上传1G的文件。在网络情况好的时候可能还没多大感觉,但如果是代码需要拷贝到内网发布,或者上传到某些国外服务器上, 将严重影响工作效率。 那么,有没有什么办法给我们打的spring boot的jar包瘦.
汇编级别反调试(2)
青月的成长记录吖
03-24 480
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
Win32( 线程控制_CONTEXT结构体)
最新发布
2301_77816603的博客
12-07 234
终止线程。
《Windows via C/C++》学习笔记(二线程)
flyingleo1981的专栏
11-13 877
每个进程都有一个主线程。每个线程都包含2个部分: 1、一个内核对象,操作用此来管理线程,里面包含了线程的状态; 2、一个线程堆栈,用来维护所有的函数参数和局部变量。     启动线程,需要提供一个线程入口函数,该函数原形必须为如下形式: DWORD WINAPI ThreadFunc(PVOID pvParam) {      DWORD dwRet = 
6.3.2自己动手写windows调试器(加强版)
渝路蓝天
07-12 798
1.my_debugger_defines.py =========================================================== from ctypes import * # Let's map the Microsoft types to ctypes for clarity BYTE      = c_ubyte WORD      =
硬件断点还能这么玩?
01-10 2290
硬件断点、调试寄存器,这一篇足够了!
控制台版调试器
AShin9的博客
12-18 410
主要实现功能: 一、基础功能 1.建立调试机制(创建调试进程,附加活动进程建立调试机制(创建调试进程,附加活动进程)
[Win32]一个调试器的实现(四)读取寄存器和内存
zhangyanquen的技术专栏
12-10 908
在前几篇文章中,我实现的那个调试器只能被动接收调试事件并输出这些事件的信息。现在,我要将它修改成可以接收命令,并根据命令对被调试进程进行各种操作。首先从最基本的操作开始。   获取寄存器的值 每个线程都有一个上下文环境,它包含了有关线程的大部分信息,例如线程栈的地址,线程当前正在执行的指令地址等。上下文环境保存在寄存器中,系统进行线程调度的时候会发生上下文切换,实际上就是将一个线程的上下文环
使用DEBUG编写与反汇编汇编程序
"这篇文档介绍了如何使用DEBUG工具来编写和反汇编汇编语言程序。在8086CPU环境下,通过DEBUG工具的A和U命令来实现程序的输入和查看,同时也阐述了机器语言和汇编语言的基本概念及其优缺点。" 在计算机编程领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值