Debug API写的loader(转载+整理)

最新推荐文章于 2022-06-07 11:46:33 发布
最新推荐文章于 2022-06-07 11:46:33 发布
阅读量465 收藏
点赞数
分类专栏: C/C++ 文章标签: Debug API写的loader

   一直想做一个KeyMakerLoader,能解壳,寄存器,指定内存,通宵了一晚上基本搞定

         下面是代:

        

// MemoryReader.cpp : 控制台用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"
#include "Commdlg.h"
#include "winnt.h"

BYTE INT3 = 0xCC;

//写入前的
BYTE Old;

//面属性
DWORD OldProtect;

//是否已写入INT3
bool HasINT3 = false;

bool IsFirstINT3 = true;

DWORD BreakPoint = 0x10074B8;

BYTE Org[8] = ...{0x80,0x3E};

//判断是否解完成
bool IsUnpacked(PROCESS_INFORMATION pi)
...{
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    printf("Exe Info:Eax:%x,Esp:%x,Eip:%x",context.Eax,context.Esp,context.Eip);        
    ResumeThread(pi.hThread);
    BYTE mem[8];
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    ReadProcessMemory(pi.hProcess,(LPCVOID)BreakPoint,&mem,8,NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    printf("hex num is:%x,%x,%x,%x",mem[0],mem[1],mem[2],mem[3]);
    if(mem[0] ^ 0xff == Org[0] && mem[1] ^ 0xff == Org[1])
    ...{
        //不能乱
        Old = mem[0];
        return TRUE;
    }
    return false;
}

//INT3
bool WriteINT3(PROCESS_INFORMATION pi)
...{
    //VirtualAllocEx(pi.hProcess,(LPVOID)0x0101259b,sizeof(INT3), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    SuspendThread(pi.hThread);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&INT3,sizeof(INT3),NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    HasINT3 = ret;
    ResumeThread(pi.hThread);
    return ret;
}

//改回去
bool CleanINT3(PROCESS_INFORMATION pi)
...{
    //SuspendThread(pi.hThread);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&Old,sizeof(Old),NULL);
    if(ret == false)
    ...{
        printf("改回去失败!");
    }
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    context.Eip--;
    SetThreadContext(pi.hThread,&context);

    printf("已经改回去了,Eax:%x",context.Eax);
    return ret;
}



int main(int argc, char* argv[])
...{
    char f_name[256];
    f_name[0] = NULL;
    OPENFILENAME filename;
    ZeroMemory(&filename,sizeof(OPENFILENAME));
    filename.lStructSize = sizeof(OPENFILENAME);
    filename.hwndOwner = NULL;
    filename.lpstrFilter = "*.exe";
    filename.lpstrFile = f_name;
    filename.nMaxFile = 256;
    filename.lpstrInitialDir = NULL;
    filename.Flags = OFN_EXPLORER | OFN_HIDEREADONLY;
    if(!GetOpenFileName(&filename))
        return 0;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si,sizeof(STARTUPINFO));
    ZeroMemory(&pi,sizeof(PROCESS_INFORMATION));
    bool ret = CreateProcess(filename.lpstrFile,"",NULL,NULL,FALSE,DEBUG_PROCESS,NULL,NULL,&si,&pi);
    if(ret == false)
    ...{
        MessageBox(NULL,"创建进程失败!","",0);
        return -1;
    }
    DEBUG_EVENT devent;
    int DllCount = 0;
    while(TRUE)
    ...{
        if(WaitForDebugEvent(&devent,1))
        ...{
            switch(devent.dwDebugEventCode)
            ...{
            case CREATE_PROCESS_DEBUG_EVENT:
                printf("CREATE_PROCESS_DEBUG_EVENT...");
                break;
            case CREATE_THREAD_DEBUG_EVENT:
                printf("CREATE_THREAD_DEBUG_EVENT...");
                break;
            case EXCEPTION_DEBUG_EVENT:
                //printf("EXCEPTION_DEBUG_EVENT...");
                 switch(devent.u.Exception.ExceptionRecord.ExceptionCode)
                ...{
                case EXCEPTION_BREAKPOINT:
                    if(HasINT3)
                    ...{    
                        SuspendThread(pi.hThread);
                        CONTEXT context;
                        ZeroMemory(&context,sizeof(CONTEXT));
                        context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
                        GetThreadContext(pi.hThread,&context);
                        printf("Eax:%x,Esi:%x ,Eip:%x ,Ebp:%x ",context.Eax,context.Esi,context.Eip,context.Ebp); 
                        if(context.Eip == BreakPoint + 1)
                        ...{
                            if(!CleanINT3(pi))
                            ...{
                                printf("清除断点失败!");
                            }

                            printf("Program Stopped At What We Want");
                            char key[256];

                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
                            ReadProcessMemory(pi.hProcess,(LPCVOID)context.Esi,key,sizeof(key),NULL);
                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
                            
                            printf("读出来的东西是 %s",key);        
                        }
                        ResumeThread(pi.hThread);
                    }    
                    break;
                case EXCEPTION_SINGLE_STEP:
                    printf("2 EXCEPTION_SINGLE_STEP");
                    break;
                case EXCEPTION_ACCESS_VIOLATION:
                    printf("读写地址出错 ");
                    printf("%d,%x",devent.u.Exception.ExceptionRecord.ExceptionInformation[0],devent.u.Exception.ExceptionRecord.ExceptionAddress);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);

/**//*                    char Nop[3];
                    Nop[0] = 0x90;
                    Nop[1] = 0x90;
                    Nop[2] = 0x90;
                    PVOID pathAddress;
                    pathAddress = devent.u.Exception.ExceptionRecord.ExceptionAddress;
                    VirtualProtectEx(pi.hProcess,pathAddress,3,PAGE_READWRITE, &OldProtect);
                    WriteProcessMemory(pi.hProcess,pathAddress,Nop,3,NULL);
                    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);        */        
                    break;
                default:
                    break;
                }
                break;
            case LOAD_DLL_DEBUG_EVENT:
                //DLL NAME太复,暂时做不到
                DllCount ++;
                printf("%d,Program Loads a Dll From BaseImage:%x,ImageName:%x",DllCount,devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                ...{
                  if(IsUnpacked(pi))
                  ...{
                      printf("UnPacked Success!!");
                      WriteINT3(pi);
                      printf("Write a INT3");
                  }
                }
                break;
            case UNLOAD_DLL_DEBUG_EVENT:
                printf("UnLoad a Dll From BaseImage:%x,ImageName:%x",devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                ...{
                  if(IsUnpacked(pi))
                  ...{
                      printf("UnPacked Success!!");
                      WriteINT3(pi);
                      printf("Write a INT3");
                  }
                }
                break;
                break;
            case OUTPUT_DEBUG_STRING_EVENT:
                break;
            case EXIT_PROCESS_DEBUG_EVENT:
                printf("调试程序已退出");
                break;
            default:
                printf("%d",devent.dwDebugEventCode);
                break;
            }
            ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_CONTINUE);
        }
        else
        ...{
        }
    }
    //KeyMake中不要两句
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return 0;
}

          可以解压缩和加密壳,是要得的内容是壳行之后,如果再壳行之前有内容的可能会被壳,另外不支持AntiDebug,过测试Keymake也不支持AntiDebug,慢慢修改了

 

【QNX+Android虚拟化方案】08 - XBL Loader 加载 SMSS、XBL Config、SHRM、CDT 、DDR、APDP、RamDump、OEM_MISC、AOP过程分析
|~~~热爱生活、努力学习的小伙汁~~~|
08-20 415
【QNX+Android虚拟化方案】08 - XBL Loader 加载 SMSS、XBL Config、SHRM、CDT 、DDR、APDP、RamDump、OEM_MISC、AOP、QSEE Dev Config过程分析
转载:23种设计模式整理(很全)
qq_46120580的博客
04-24 1584
23 种设计模式汇集 目录 文章目录23 种设计模式汇集目录设计模式引言学习 GoF 设计模式的重要性建筑和软件中模式之异同设计模式之 Singleton(单态)模式实战书籍《Java 实用系统开发指南》单态定义:设计模式之 Factory工厂模式定义*:*提供创建对象的接口*.* 为何使用*?*工厂模式中有: 工厂方法*(Factory Method)* 抽象工厂*(Abstract Factory).*设计模式之 Builder设计模式之 Prototype(原型)设计模式之 Adapter(适配器)设
ApiDebug-master
11-22
ApiDebug-master,用于浏览器调试接口 ApiDebug-master,用于浏览器调试接口
跟踪API
七七八八
07-19 2628
今天无意中发现彭春华的一些关于跟踪API的方法,特别是调试函数的使用,惊叹! 以前居然没有发现!                                                                     跟踪监视方案概览当我们对某一目标程序进行API函数的跟踪监视分析时,根据跟踪监视的目标,基本上有以下几种途径实现对API函数的跟踪监视:  Log记录分析 如果
debug api
weixin_34007906的博客
08-24 132
看雪《加密解密》18.2 内存补丁\18.2.3 利用调试寄存器机制\1.利用Single Step机制 的源码老强大了,要好好学习。 它可以对加壳软件的任意地址做任意动作。 缺点: 我的360会对执行程序报警——远程线程注入。 杂项: "++"是C和C++里的自增运算符. 例: ++i,i++; ++i是使用i之前先使i加一. i++是使用i之后再加一 转载于:https:...
利用Debug Api 获得QQ2007密码
荣植华的专栏
03-06 8127
代码:{*******************************************************}{                                                       }{       利用Debug Api 获得QQ2007密码                    }{   只支持QQ2007版本为7.1.576.1763
Windows Debug API
weixin_30938149的博客
12-19 184
最重要的Debug API有如下几个: CreateProcess —— 用于创建被调试进程 WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数 ContinueDebugEvent —— 用于构成Debug Loop GetThreadContext —— 得到被调试进程的寄存器信息 SetThreadContext —— 设置被调试进程的寄存器信...
前端面试题整理
newbalsh的博客
06-07 977
工厂模式是一种设计模式,目的是为了创建对象,它通常在类或类的静态方法中实现,有以下目的:当创建相似对象是执行重复操作当编译时,不知道具体类型的情况下,为工厂客户提供一个创建对象的接口//使用工厂方式创建一个对象//1.原料//2.加工 -- 对属性进行赋值//3.方法console.log("人物名称:"+this.name);console.log("人物的性别:"+this.sex);//4.加工结束,--输出返回return obj;//工厂模式的使用。
面试框架题整理
热门推荐
Jenius87v5的博客
04-15 2万+
面试题总结 一基础部分 1.1 集合 1.1.1 fail-fast 与 fail-safe 机制有什么区别 1.1.2 说出ArrayList,Vector, LinkedList的存储性能和特性 ArrayList 采用的是数组形式来保存对象的,这种方式将对象放在连续的位置中,所以最大的缺点就是插入删除时非常麻烦 LinkedList 采用的将对象存放在独立的空间中,而且在每个空间中还保存下一个链接的索引 但是缺点就是查找非常麻烦 要丛第一个索引开始 ArrayList和Vector都是用数组方
PHP 面试知识点整理归纳
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
调试API学习心得(debug学习资料)
06-03
调试API学习心得,debug学习所需的资料.
ApiDebug-接口调试辅助工具
08-15
你还在为后端工程师找你要接口而烦恼吗?你还在网上找api调试工具吗?现在将这款Api调试工具开源出来,它涵盖了RAP/Postman/Fiddler接口抓包相关核心功能,方便开发人员接口调试。工具为Android项目,内含两个Apk可执行程序,项目使用kotlin语法,Material Design UI 设计风格,代码开源,相互学习,多多指教~ 原文博客:https://blog.csdn.net/u011038298/article/details/81298152
debug API转载+整理
zjc742206723的专栏
08-03 815
1、 CreateProcess() WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 BOOL CreateProcess ( LPCTSTRlpApplicationName, LPTSTRlpCommandLine, LPSECURITY_ATTRIBUTESlpProcessAttributes。 LPSECUR
调试篇-windows debug api
浅浅徘徊的博客
01-26 2157
先创建一个被调试的pe程序,代码如下: // test.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include using namespace std; void print(){ cout"hello\n"; } int _tmain(int arg
windows Debug API 转载+整理
zjc742206723的专栏
07-27 971
很多朋友都梦想有自己的Debugger程序,今天我们就来自己制作一个。作为一个Debugger程序,其最基本的功能框架其实就是完成2件事情: 启动目标程序。实时监控目标程序的运行,并做出相应的应对。 我们要打造自己的Debugger程序,实际上也只需要完成这两个功能就可以了。当然,要完成这两个特定的功能,我们不可能从头开始造轮子,要首先看看操作系统给我们提供了什么样的基础设施: 由于我们是在
DEBUG API简单的Loader
Red_angelX的专栏
01-14 2730
         一直想做一个类似KeyMaker的Loader,能解壳,能读寄存器,读指定内存值,通宵了一晚上基本搞定         下面是代码:         // MemoryReader.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include "windows.h"#include "Commdlg.h"#include "w
node/webpack 调试 loader 等技巧
weixin_30399055的博客
09-09 765
"dev": "cross-env NODE_ENV=development ENV_CONFIG=dev node --inspect-brk build/dev-server.js --mock", https://webpack.docschina.org/contribute/debugging/ https://nodejs.org/dist/latest-v12.x/docs...
Win32调试API原理
hackwaly的专栏
03-26 4320
  来自《软件技术加密内幕》和chm版本不太一样 在Win32中自带了一些API函数,它们提供了相当于一般调试器的大多数功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API可以做到加载一个程序或捆绑到一个正在运行的程序上以供调试;可以获得被调试的程序的底层信息,例如进程ID、进入地址、映像基址等;甚至可以对被调试的程序进行任意的修改,包括进程的内存、线程的
apiDebug-API接口调试插件,开源API接口调试插件、HTTP 请求调试工具,接口调试工具,接口测试工具
torrytang的专栏
05-20 1万+
apiDebug-API接口调试插件,开源API接口调试插件,Restfull接口调试软件,Restfull接口调试插件,谷歌API接口调试插件,Chrome浏览器接口调试插件,POST请求模拟插件,api接口调试工具,开源接口调试工具,POST模拟工具,接口调试工具,接口测试工具 http api接口:是走http协议,通过路径来区分调用的方法,请求报文都是key-value形式的,返回报文一...
(debug+masm+edit+link+dosbox)
最新发布
06-09
这些关键字分别代表调试器(debug),汇编器(masm),文本编辑器(edit),链接器(link),以及模拟DOS环境的软件(dosbox)。这个字符串可能代表一个使用这些工具进行汇编语言编程的环境或者项目。如果你有具体问题或者需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值