int 3断点检测 和调试

最新推荐文章于 2023-02-23 20:10:07 发布
最新推荐文章于 2023-02-23 20:10:07 发布
阅读量453 收藏 1
点赞数
原文链接:http://www.cnblogs.com/yueyue184/archive/2013/06/07/3123943.html
版权

感谢师叔的科普。

下面代码来源于52pojie。不想自己写,我是懒人。

#include <windows.h>
   
BOOL DetectFuncBreakpoints();
   
int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd )
{
   
    if (DetectFuncBreakpoints())
    {
        MessageBox(NULL, "检测到int3断点", "结果", MB_OK);
        return 0;
    }
    else
    {
        MessageBox(NULL, "没有检测到int3断点", "结果", MB_OK);
    }
   
    return 0;
}
   
BOOL DetectFuncBreakpoints()
{
    BOOL bFoundOD;
    bFoundOD=FALSE;
    DWORD dwAddr;
    dwAddr = (DWORD)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); //将FARPROC类型转换成DWORD
    __asm
    {
            cld               ;检测代码开始
            mov     edi,dwAddr
            mov     ecx,100  ;100bytes
            mov     al,0CCH ;字母前面必须有0
            repne   scasb
            jnz     ODNotFound
            mov bFoundOD,1
ODNotFound:             
    }
    return bFoundOD;
}
c++

跳过检测方法:
1、修改检测时的跳转
2、下 hr等强点的断点

 

如果遇见这样的检测,可以先下一个自己需要int3 地址的断点,然后硬件读取一下。就可以了。

另外当遇见硬断点 也找不到的时候,可能是 硬件断点也被清除了。hook SetThreadContext

 

seh一样可以检测。c00000003

转载于:https://www.cnblogs.com/yueyue184/archive/2013/06/07/3123943.html

weixin_30919429
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API函数点检测int3.rar
03-13
这个压缩包“API函数点检测int3.rar”可能包含了一套工具或教程,教我们如何识别和处理API调用中的int3点。 API(Application Programming Interface)函数是操作系统提供给开发者使用的预定义功能接口,允许...
软件INT3
hb_zxl的专栏
05-05 1906
提到调试,很多人立刻会想到设置点和单步执行。x86系列处理器从其第一代产品8086开始就提供了一条专门用来支持调试的指令,即INT 3。调试程序时,我们可以在可能有问题的地方插入一条INT3指令,使CPU执行到这一点时停下来。 这便是软件调试中经常用到的点(breakpoint)功能,因此INT3指令又称为点指令。 通过一个小程序感受一下INT3指令的工作原理 vc6建立一个hiInt控制台小程序 程序代码: #include <stdio.h> int main() { .
[调试器实现]第二章 INT3
dog0230的博客
05-10 578
INT3点,简单地说就是将你要下的指令地址处的第一个字节设置为0xCC,软件执行到0xCC(对应汇编指令INT3)时,会触发异常代码为EXCEPTION_BREAKPOINT的异常。这样我们的调试程序就能够接收到这个异常,然后进行相应的处理。 INT3点的管理: 在我的程序中,INT3点的信息结构体如下: structstuPointInfo { Point...
INT3
Jieen的专栏
01-15 2734
INT3点是点的一种,在诸如Ollydbg中的快捷键是F2,是一种很常用的点类型。INT3指令的机器码为CC,所以通常也称之为CC指令。当被调试进程执行INT3指令导致一个异常时,调试器就会捕捉这个异常从而停在点处,然后将点处的指令恢复成原来的指令。当然,如果自己写调试器,也可以用其他一些指令代替INT3指令来触发异常。  用INT3点的好处是可以设置无数个点,缺点是改变了原程序
int3点指令的原理和示例
Netfilter
05-21 6780
今天有人让我解释一下调试的原理,我就想先解释一下int3指令,就写了一篇短文。 单字节指令int3的二进制码是0xcc,它的效果是: 处理器执行到0xcc时,会陷入内核,执行int3的异常处理代码,比如给当前进程发送一个SIGTRAP信号。 就这么简单。剩下的就看信号处理程序如何发挥了。 我给出一个简单的代码,演示一下一个程序的 自我单步跟踪 如何实现: #include <stdio.h> #include <sys/mman.h> #include <signal.
INT3点和硬件
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 5831
INT3点和硬件
76.逆向分析之OllyDbg动态调试工具(二)INT3点、反调试、硬件点与内存点_网络_杨秀璋的专栏-CSDN博客1
08-03
1. 反调试:有些恶意软件会检测INT3点来防止被调试,例如通过检查内存中的0xCC字节序列。 2. 反反调试:为了绕过这种检测,调试者可以使用技术如EPO(Exception Handler Overwrite)或在运行时修改INT3指令为正常...
易语言反调试手段,检测自身是否被
06-03
写法很简单,思路也很简单,就是第一...对应位置的机器码(第一个字节)会被替换成0XCC(对应的汇编指令为int3)字节变化了那么累加起来的数就会不同,达到了检测点的效果,新手可以看看,大佬绕道咯。@1061787583。
易语言检测OD调试附加源码
11-18
3. **内存检查**:监控进程的内存空间,查看是否有调试器常见的特征,如点指令(如INT 3)或者调试相关的数据结构。 4. **时间戳比较**:程序启动时记录自身的PE文件时间戳,如果在运行过程中发现改变,可能表明...
OD调试常见点及原理(浓缩版)
weixin_44155363的博客
05-31 3040
OD调试时,常见的点有int3、硬件点、内存点、消息点、条件点、条件记录点等; 1、int 3点 原理:改变点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC点 优点:可以设置无数个 OD快捷键F2就是利用这个特性 FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); Mark =
调试时使用的 7 种
VI___
05-05 916
1、int3 点,机器码为 0xCC ,因此又叫做 CC 点 —— n 个 实现方法是比如:将某一行汇编进行了 F2 下,那么这一行汇编对应的机器码的第一个字节将被改写为 CC ,尽管调试器不会显示,但是实际上已经进行了更改,调试器在执行到这里检测到了 0xCC 之后就会下。 2、硬件点,通过 DRx 调试寄存器实现 —— 4 个 DRx 调试寄存器有 8 个:DR0 ~ D...
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3点、反调试、硬件点与内存
杨秀璋的专栏
05-13 9073
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3点、反调试、硬件点和内存点。基础性文章,希望对您有所帮助。
Ollydbg之点设置
ChuMeng1999的博客
10-15 1813
目录预备知识1.点2.INT3点3.内存点4.硬件点实验目的实验环境实验内容和步骤1.熟练使用OD设置INT3点2.了解使用OD设置内存点3.了解使用OD设置硬件点 预备知识 1.点,是调试器的核心功能之一,可以让程序中在需要的地方,从而方便调试器对程序进行跟踪与分析。调试器对点有记忆功能,可以在一次调试中设置点,下一次可以让程序自动运行到上一次设置点的位置中下来。 调试器的点功能是为了方便程序员调试程序,以检测程序的逻辑完整性和功能完整性。比如在几百行的程序源代码中,编译
调试的时候没有在点处停止的原因
xzy的博客
12-28 2722
调试的时候没有在点处停止的原因 按道理来讲,调试的时候,一般程序会停在我们打点的地方,但是如果我们打的第一个点的前面有异常,那么调试的时候程序就不会停止到点的地方了,而是直接运行结束抛出异常,如下图: 错误原因: 校验信息可能是英文: ...
[系统安全] 二十四.逆向分析之OllyDbg调试INT3点、反调试、硬件点与内存
杨秀璋的专栏
02-24 6543
作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3点、反调试、硬件点和内存点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。
INT 3(手工设置点)
chikuomin5059的博客
11-28 309
int _tmain(int argc, _TCHAR* argv[]) { _asm INT 3; printf("hello INT 3!\n"); system("pause"); return 0; } cpu遇到INT 3指令是会把执行权转交给调试...
函数Int3点检测
weixin_33985679的博客
11-27 202
00D94F70 55 push ebp 00D94F71 8BEC mov ebp,esp 00D94F73 51 push ecx 00D94F74 53 push ebx 00D94F75 56...
OllyDbg(OD)使用教程
03-06
游戏外挂与反外挂,游戏安全类,软件破解,软件暴力破解。。。必不可少的工具之一课程目录:01.OllyDbg的界面和配置02.常用快捷键03.爆破一个软件演示下OllyDbg的基本操作04.常用点之INT3点原理解析05.INT3点的反调试与反反调试06.常用点之硬件点原理解析07.常用点之内存点原理解析08.常用点之消息点原理解析09.常用点之条件点原理解析10.内存访问一次性点和条件记录点11.Run trace 和 Hit trace12.调试符号13.常见插件介绍14.插件的编写
逆向分析之OllyDbg动态调试工具:INT3点、反调试、硬件点与内存
本文将详细介绍OllyDbg动态调试工具中的INT3点、反调试、硬件点和内存点。 INT3点是 OllyDbg 中一种常用的点类型,用于暂停程序的执行,以便于调试和分析程序的行为。INT3点可以通过多种方式来设置,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值