继续研究一下OD实现部分中 断点相关的技术:
1、普通断点:
1.1 OD的处理方法是将指令的第一个字节替换成CC,造成中断。为什么能够?(由于它属于int3中断 的代码)
这个INT 3指令,其机器码是CCh,也常称为CC指令。当被调试进程运行INT 3指令导致一个异常时。调试器就会捕捉这个异常从而停在断点处,然后将断点处的指令恢复成原来指令。
当然。假设自己写调试器,也可用其它一些指令取代INT 3来触发异常。
用INT 3断点的优点是能够设置无数个断点,缺点是改变了原程序指令,easy被软件检測到。比如为了防范API被下断。一些软件会检測API的首地址是否为CCh,以此来推断是否被下了断点。在这用C语言来实现这个检測。方法是取得检測函数的地址。然后读取它的第一个字节,推断它是否等于“CCh”。
1.2通过检測指令的第一个字节是否为CC来反调试。
实现?
FARPROC Uaddr ;
BYTE Mark = 0;
(FARPROC&) Uaddr =GetProcAddress ( LoadLibrary("user32.dll"),"MessageBoxA");
Mark = *((BYTE*)Uaddr); // 取MessageBoxA函数第一字节
if(Mark ==0xCC) // 如该字节为CC,则觉得MessageBoxA函数被下断
return TRUE // 发现断点总之是一个比較勉强的反调试方法。
当我们设置断点后,OD会将相应指令处第一个字节指令替换成CC。
可是为了不影响界面显示效果,OD会将CC显示为原字节。
可是,我们能够在内存单元中读取出其真实的内容,而且能够在反调试中用此方法来检測断点。所以,我们设置的断点有时候莫名其妙的消失了不要感到奇怪,也许说这是调试器的本身的弱点吧。
2、BPX对全部调用都下断点
2.1BPX能够给引用或者调用了指定API函数的指令都下断点。
2.2或者通过 查看函数列表(ctrl+N)--> 搜索相应函数--> 右键选择查看调用树 --> 从而对函数下断点
3、内存断点:
3.1通过设置内存页的訪问属性,来触发异常。从而产生断点。
“Memory,on access(内存訪问)”是内存訪问断点(读或者写),
“Memory,on write(内存写入)”是内存写断点。
这样的类型的断点改动内存页的訪问属性。当前我们设置了内存断点。不论什么代码訪问(读,写或者运行代码)了该处代码的话,都会触发异常。
3.2还能够对区块进行内存訪问和写入。
3.3内存訪问一次性断点
这个断点是一次性断点。当所在段被读取或运行时就中断。中断发生以后。断点将被删除。想捕捉调用或返回到某个模块时,如后面章节中的脱壳时,该类断点就显得特别实用。
部分总结到这里,明天继续。
4792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
