硬件断点还能这么玩?

最新推荐文章于 2023-03-21 09:33:52 发布
最新推荐文章于 2023-03-21 09:33:52 发布
阅读量2.2k 收藏 5
点赞数 2
分类专栏: 安全 文章标签: 调试器 寄存器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjp342023125/article/details/122421326
版权

上一篇文章我们介绍了inlinehook(修改代码的hook方式),接下来准备介绍硬件断点+veh hook(无需修改代码的hook方式)。作为铺垫,本文先介绍硬件断点。

获取本文的实战代码、参考资料,请关注后,在聊天框回复:硬件断点。

硬件断点介绍

硬件断点与软件断点类似,都是一种代码调试的手段,可以让代码中断在需要的地方,方便调试。

软件断点是调试器在断点位置插入 int 3汇编指令实现的。硬件断点顾名思义是依赖硬件cpu,主要是靠dr0~dr7 ,8个调试寄存器实现的。

硬件断点比软件断点的功能更强,除了函数断点外,还可以数据断点,可以指定当数据被读或写时中断。

硬件断点的本质就是在指定内存下断点,内存可以位于代码段(函数断点)也可以是数据段(数据断点)。可以设置事件有执行、写入、读写时中断。

调试器使用硬件断点实现数据断点功能(例如gdb的watch命令)

Breakpoint 1, main (argc=0, argv=0x7fffffffe3e0) at xxx.cpp:27
27      {
(gdb) watch argc
Hardware watchpoint 2: argc

一些游戏外挂也会使用硬件断点来实现hook效果,介绍完硬件断点以后讲。

调试寄存器

硬件断点是cpu提供的功能,主要是与cpu上的dr0~dr7这8个调试寄存器打交道。下面参考intel手册详细介绍一下。

intel-325462-sdm-vol-1-2abcd-3abcd.pdf ,page 3415

dr0,dr1,dr2,dr3(Debug Address Registers)

dr0~dr3是调试地址寄存器,储存4个硬件断点的内存地址。硬件限制所以最多只有四个硬件断点。

dr4,dr5(保留,暂时没用)

目前没有用,不说了。

dr6(Debug Status Register)

调试状态寄存器,dr6按位使用,我们主要关注B0~B3位。触发硬件断点后,会将对应序号位设置为1。

dr7(Debug Control Register)

可以按位设置硬件断点的属性,包括:开关位、条件位、长度位。

开关位

dr7的开关位控制dr0~dr3号硬件断点是否启用。

条件位

dr7的条件位控制dr0~dr3如何被触发。00 执行时触发。01写入时触发,11读写时触发。

长度位

dr0~dr3指定的内存地址,dr7的长度位控制内存长度。

如果dr7的条件位设置为00执行,则对应的长度位必须是00。

代码实战

设置调试寄存器

windows提供了API,可以设置和获取寄存器。

BOOL SetThreadContext(
    _In_ HANDLE hThread,
    _In_ CONST CONTEXT* lpContext
    );
BOOL GetThreadContext(
    _In_ HANDLE hThread,
    _Inout_ LPCONTEXT lpContext
    );

CONTEXT是一个结构体,里面包含所有寄存器。因为每个cpu有一套寄存器,所以API里需要传线程句柄,设置哪个线程的寄存器。

dr7辅助类

dr7寄存器都是位操作,不方便设置也不方便看。写个辅助类。按位操作的都可以这样来弄,不用来回位移了。

// <<intel-325462-sdm>> page 3414
// Debug control register (DR7)
// Specifies the forms of memory or I / O access that cause breakpoints to be generated.
struct xx_dr7 {
  uint32_t L0 : 1;
  uint32_t G0 : 1;
  uint32_t L1 : 1;
  uint32_t G1 : 1;
  uint32_t L2 : 1;
  uint32_t G2 : 1;
  uint32_t L3 : 1;
  uint32_t G3 : 1;




  uint32_t LE : 1;
  uint32_t GE : 1;
  uint32_t no_use1 : 1;
  uint32_t RTM : 1;
  uint32_t no_use2 : 1;
  uint32_t GD : 1;
  uint32_t no_use3 : 2;




  uint32_t RW0 : 2;
  uint32_t LEN0 : 2;
  uint32_t RW1 : 2;
  uint32_t LEN1 : 2;
  uint32_t RW2 : 2;
  uint32_t LEN2 : 2;
  uint32_t RW3 : 2;
  uint32_t LEN3 : 2;
};

我们封装的函数

我们封装一个设置硬件断点的函数,利用前面的dr7辅助类。

参数有:线程句柄、硬件断点序号(0~3)、内存地址、事件类型(执行、写、读写)、内存长度。

#define RW_EXE    0b00
#define RW_WRITE  0b01
#define RW_RW    0b11


#define LEN_1B    0b00
#define LEN_2B    0b01
#define LEN_4B    0b11
static bool xx_set_hw_bp(HANDLE thread, int idx, void* addr, 
  int RW = RW_EXE, int LEN = LEN_4B)
{
  if (RW == RW_EXE) {
    //If the corresponding RWn field in register DR7 is 00 (instruction execution), then the LENn field should also be 00. 
    // The effect of using other lengths is undefined.See Section 17.2.5, “Breakpoint Field Recognition, ” below.
    LEN = 0b00;
  }


  // get context
  CONTEXT context = { 0 };
  context.ContextFlags = CONTEXT_DEBUG_REGISTERS;
  BOOL get_ret = GetThreadContext(thread, &context);
  if (FALSE == get_ret) {
    return false;
  }


  // set dr7
  xx_dr7 dr7{ 0 };
  if (0 == idx) {
    memcpy(&context.Dr0, &addr, sizeof(addr));
    dr7.L0 = 1;
    dr7.G0 = 1;
    dr7.RW0 = RW;
    dr7.LEN0 = LEN;
  }
  else if (1 == idx) {
    memcpy(&context.Dr1, &addr, sizeof(addr));
    dr7.L1 = 1;
    dr7.G1 = 1;
    dr7.RW1 = RW;
    dr7.LEN1 = LEN;
  }
  else if (2 == idx) {
    memcpy(&context.Dr2, &addr, sizeof(addr));
    dr7.L2 = 1;
    dr7.G2 = 1;
    dr7.RW2 = RW;
    dr7.LEN2 = LEN;
  }
  else if (3 == idx) {
    memcpy(&context.Dr3, &addr, sizeof(addr));
    dr7.L3 = 1;
    dr7.G3 = 1;
    dr7.RW3 = RW;
    dr7.LEN3 = LEN;
  }
  // set context
  context.Dr7 = dr7.get();
  BOOL set_ret = SetThreadContext(thread, &context);
  return TRUE == set_ret;
}

代码逻辑不复杂,借助dr7辅助类,设置对应的控制位。

下面做一些测试

vs的数据断点

测试一下,vs中设置数据断点后,调试寄存器的值是怎样的?

测试代码:

void test_vs_data_bp() {
  int n = 0;// 对n下数据断点
  CONTEXT context = { 0 };
  context.ContextFlags = CONTEXT_DEBUG_REGISTERS;
  auto ret = GetThreadContext(GetCurrentThread(), &context);
  xx_dr7 dr7{ 0 };
  dr7.set(context.Dr7);
}

在第3行代码下普通断点停住,再对 n下数据断点。

然后看看调试寄存器的值

借助dr7辅助类看看dr7情况。

控制位L0设置为0b1,条件位RW0设置为0b01(写事件),长度位为0b11(0x3,4字节)。

硬件断点执行事件

我们继续测试一下,执行事件的硬件断点。

void test_exe_hw_bp_func() {
  xx_set_hw_bp(GetCurrentThread(),1, &func, RW_EXE);
  func();
}

执行func时触发异常,我们没有设置veh处理,就被调试器捕捉到

硬件断点写事件

接下来试试写事件,测试代码如下:

void test_write_hw_bp() {
  int n = 0;
  xx_set_hw_bp(GetCurrentThread(), 0, &n, RW_WRITE);


  n = 1;//write
}

n=1时触发断点

硬件断点读写事件

继续试试读写事件,为啥不能设置只读事件?

void test_read_hw_bp() {
  int n = 0;
  xx_set_hw_bp(GetCurrentThread(), 0, &n, RW_RW);
  int b = n;//read


  b = b * b;


  n = 5;
}

读事件时中断

写事件时中断

硬件断点写事件1Byte

接下来试试,长度控制位。先设置写事件、1字节。再设置写事件、4字节。

void test_write_hw_bp_1byte() {
  char c[4];


  xx_set_hw_bp(GetCurrentThread(), 0, c, RW_WRITE,LEN_1B);
  c[0] = 0;
  c[1] = 0;


  xx_set_hw_bp(GetCurrentThread(), 0, c, RW_WRITE, LEN_4B);
  c[0] = 0;
  c[1] = 0;
}

不贴图了,在执行第5、9、10行时发生了中断。第6行没有中断,因为只设置了1字节。

硬件断点、调试寄存器介绍完了,下次就介绍硬件断点hook。

最后,求关注、点赞、转发~

东北码农,全网同名,求关~

东北码农
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
断点和软断点的区别
Macross的专栏
10-23 9186
断点--break point 软断点--assert   简单的解释: 硬件断点:硬断点需要硬件寄存器提供支持,断点的数目受Embedded ICE中的Watchpoint数目的限制,但是可以在任何地方设置断点。 软件断点:软件断点通过在运行起来的程序中设置特征值实现,其数目不受限制,但是一般情况下软件断点只能在可写的存储器的地址中设置(比如:RAM),而不能在ROM(比如:Flas
Windows核心编程之线程
w1012747007的专栏
08-15 302
线程组成两部分: 1. 一个线程的内核对象,操作系统用它管理线程。 2. 一个线程栈,用于维护线程执行时所需的所有函数参数和局部变量。 何时创建线程?举例: 操作系统的Windows Indexing Services,磁盘碎片整理程序等,都是使用多线程进行性能优化的例子。
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好的东东 还有很多好的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 。- -转来的哦。只在XP WIN7 X32 下测试通过。@659656hkl。
GetThreadContext failed报错解决方法
热门推荐
残獄の世界に救いを
07-30 6万+
最近编译后的项目总是不稳定,运行一会就崩溃,然后报错GetThreadContext failed. 网上报这个错误的还挺多的,不过大部分都是家遇到的. GetThreadContext failed的原因很多,但我这次绝对是被steamVR和360坑了 我一开始看报错的名字总以为是gc哪里出了问题,内存回收有问题,被这个直接的错误原因误导.实际这个问题出在steamVR和360身上. 百度到有...
游戏出现GetThreadContext failed报错 Unity开发
wanfping123的博客
12-06 3万+
解决方案 1.检查是否有360。有的情况(1)简单方案:卸载360。(2)专业方案:将游戏exe添加到信任名单中 解释:360会将一些模拟按键视为木马,然后游戏运行一般直接闪退。 2.检查防火墙。专业方案:将游戏exe加入防火墙允许应用的列表中,勾选专用和公用。 解释:无。关了防火墙还会有问题,然后将exe加入允许列表就没碰到了。玄学。 ...
c++硬件断点使用示例
03-18
在C++编程中,硬件断点是一种高级调试技术,它允许程序员在程序执行时暂停,以便检查内存状态、变量值或执行流程。本示例主要介绍如何在C++中使用硬件断点,这对于深入理解代码行为和调试复杂问题非常有用。 硬件...
2.VT调试器之无限硬件断点.rar
10-20
同时,对于那些动态加载库或频繁修改内存的恶意软件,无限硬件断点也能提供更强的分析能力。 压缩包内的"2.VT调试器之无限硬件断点.mp4"视频教程,很可能详细演示了如何在VT调试器中设置和使用无限硬件断点,包括...
ollydbg中的内存断点硬件断点有什么区别? - 知乎1
08-03
内存断点硬件断点是两种常见的调试技术,它们在调试过程中起到关键作用,但工作原理不同。 内存断点是通过修改内存页的属性来实现的。具体来说,调试器会在目标程序试图访问的特定内存地址所在的页上设置PAGE_NO...
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
VEH+硬件断点实现无痕HOOK
09-24
【标题】"VEH+硬件断点实现无痕HOOK"涉及的是Windows系统中的一种高级调试技术,主要用于在不改变目标程序原始行为的情况下,插入自定义代码以监控或修改其执行流程。这种技术常用于软件调试、逆向工程、安全检测等...
win32api之线程知识梳理(四)
xf555er的博客
03-21 729
线程上下文(Thread Context)是指在一个线程中,当前执行代码的相关信息集合,包括寄存器状态、程序计数器、线程优先级、线程的上下文安全堆栈等等。要注意的是,若要获取线程上下文信息,需要先将线程挂起。当多个线程同时使用同一个资源(全局变量)时, 很可能会出现某些错误, 这时我们可以将这个资源变成临界资源, 然后通过临界区来使用这个临界资源临界区(critical section)是操作系统用于同步线程之间访问共享资源的一种机制,是一段被保护的代码区域。
硬件中断和软件中断的区别?
u013750244的博客
07-09 1万+
一、指代不同 1、硬件中断:指向量中断,即中断源的识别标志,可用来存放中断服务程序的入口地址或跳转到中断服务程序的入口地址。 2、软件中断:指软中断,是利用硬件中断的概念,用软件方式进行模拟,实现宏观上的异步执行效果。 二、中断方式不同 1、硬件中断:每个中断向量分配4个连续的字节单元,两个高字节单元存放入口的段地址CS,两个低字节单元存放入口的段内偏移量IP。 2、软件中断:上半部在屏蔽中断的上下文中运行,用于完成关键性的处理动作;而下半部则相对来说并不是非常紧急的,通常还是比较耗时的,因此由系统自行安排
关于GetThreadContext
nifgod的专栏
10-27 5736
<br /><br />#include <Windows.h><br />#include <stdio.h><br />#include <tlhelp32.h><br /> <br />//默认线程栈大小1M,32位系统进程可用空间为2G<br />//所以一个进程最多有2G/1M=2048个线程<br />#define MAXTHREADCOUNT 2048<br /> <br />void ListAllThreadInProc(DWORD *pdwThread, const DWORD dwP
软件断点硬件断点的区别和数量限制
liu_Zzr的博客
12-03 4020
软件断点硬件断点的区别和数量限制 所有的ARM7/ARM9芯片,内部有2个断点单元。断点单元可以用于设置硬件断点或是软件断点。 先说说硬件断点和软件断点的区别。硬件断点是通过监测地址来触发断点的。所以,硬件断点可以设置在任何地方,不管是FLASH,ROM还是RAM,只要给定地址就可以了。而软件断点是通过监测特定的指令来触发断点的。在某个地址设置软件断点的时候,仿真器会将这个地址的数据/指令替换成...
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 3071
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
硬件断点和软件断点(整理)
十一月zz的博客
06-27 4305
文章目录 断点的类型 软件断点:由非法指令异常实现,适用于运行于内存中的程序(软件实现)。以x86为例,向某个地址打入断点,实际上就是往该地址写入断点指令INT 3,即0xCC。目标程序运行到这条指令之后就会触发SIGTRAP信号,gdb捕获到这个信号,根据目标程序当前停止位置查询gdb维护的断点链表,若发现在该地址确实存在断点,则可判定为断点命中[1]。 硬件断点:由硬件特性实现(数量有限),适用于直接在flash中运行的程序。 为什么要分软件断点硬件断点呢? 既然软件断点是要往某个地址写入断
GetThreadContext找到程序占用CPU的技巧
125096
06-17 3779
#include #include #include #include using namespace std; TCHAR strname[]=TEXT("1.exe"); //程序名称 int main (void) { //创建进程 STARTUPINFOA psiStartInfo={0}; //STARTUPINFOW //UNICODE PROCESS_IN
傀儡进程
苞米地里捉小鸡的博客
10-13 622
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
veh 硬件断点使用例子
最新发布
07-10
在VEH机制中使用硬件断点可以帮助我们在特定的内存地址上设置断点,当程序执行到该地址时触发断点异常。以下是一个使用硬件断点的VEH例子: ```c++ #include <Windows.h> // Vectored Exception Handler函数 LONG WINAPI VehHandler(PEXCEPTION_POINTERS pExceptionInfo) { // 判断是否是硬件断点异常 if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP) { // 处理硬件断点触发逻辑 // ... // 取消硬件断点,恢复程序执行 CONTEXT* pContext = pExceptionInfo->ContextRecord; pContext->Dr0 = 0; pContext->Dr7 &= ~0x00000001; // 返回处理结果,终止异常处理链 return EXCEPTION_EXECUTE_HANDLER; } // 返回继续搜索异常处理链 return EXCEPTION_CONTINUE_SEARCH; } int main() { // 注册Vectored Exception Handler PVOID pHandler = AddVectoredExceptionHandler(1, VehHandler); if (pHandler == NULL) { // 处理注册失败情况 // ... return 1; } // 设置硬件断点 CONTEXT context; memset(&context, 0, sizeof(CONTEXT)); context.ContextFlags = CONTEXT_DEBUG_REGISTERS; context.Dr0 = 0x12345678; // 设置断点地址 context.Dr7 = 0x00000001; // 设置断点条件和长度 if (!SetThreadContext(GetCurrentThread(), &context)) { // 处理设置硬件断点失败情况 // ... RemoveVectoredExceptionHandler(pHandler); return 1; } // 触发硬件断点 int* p = reinterpret_cast<int*>(0x12345678); *p = 42; // 移除Vectored Exception Handler RemoveVectoredExceptionHandler(pHandler); return 0; } ``` 在上述代码中,我们首先定义了一个VEH处理函数`VehHandler`,当异常发生时会被调用。在该函数中,我们判断异常类型是否为硬件断点异常(EXCEPTION_SINGLE_STEP),如果是,则执行我们定义的硬件断点触发逻辑。在本例中,我们取消硬件断点(清除Dr0和Dr7寄存器的相应位),并返回`EXCEPTION_EXECUTE_HANDLER`来终止异常处理链。 在`main`函数中,我们首先注册VEH处理函数,然后使用`SetThreadContext`函数设置硬件断点。通过设置`Dr0`寄存器为要设置断点的地址,设置`Dr7`寄存器来指定断点条件和长度。如果设置成功,则触发硬件断点,程序会在指定地址处触发断点异常。最后,移除VEH处理函数并结束程序。 请注意,硬件断点的使用需要注意调试器的干扰,因为调试器可能会使用硬件断点进行调试操作。因此,在实际应用中需要谨慎使用硬件断点,并根据具体需求进行详细的异常处理和错误处理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值