继续研究一下OD实现部分中 断点相关的技术:
1、普通断点:
1.1 OD的处理方法是将指令的第一个字节替换成CC,造成中断。为什么可以?(因为它属于int3中断 的代码)
这个INT 3指令,其机器码是CCh,也常称为CC指令。当被调试进程执行INT 3指令导致一个异常时,调试器就会捕捉这个异常从而停在断点处,然后将断点处的指令恢复成原来指令。当然,如果自己写调试器,也可用其他一些指令代替INT 3来触发异常。
用INT 3断点的好处是可以设置无数个断点,缺点是改变了原程序指令,容易被软件检测到。例如为了防范API被下断,一些软件会检测API的首地址是否为CCh,以此来判断是否被下了断点。在这用C语言来实现这个检测,方法是取得检测函数的地址,然后读取它的第一个字节,判断它是否等于“CCh”。
1.2通过检测指令的第一个字节是否为CC来反调试。 实现?
FARPROC Uaddr ;
BYTE Mark = 0;
(FARPROC&) Uaddr =GetProcAddress ( LoadLibrary("user32.dll"),"MessageBoxA");
Mark = *((BYTE*)Uaddr); // 取MessageBoxA函数第一字节
if(Mark ==0xCC) // 如该字节为CC,则认为MessageBoxA函数被下断
return TRUE // 发现断点
程序编译后,对MessageBoxA设断,程序将会发现自己被设断跟踪。当然躲过检测的方法是将断点下在函数内部或末尾,例如可以将断点下在函数入口的下一行,就可躲过检测了。
总之是一个比较勉强的反调试方法。
当我们设置断点后,OD会将对应指令处第一个字节指令替换成CC。但是为了不影响界面显示效果,OD会将CC显示为原字节。但是,我们可以在内存单元中读取出其真实的内容,并且可以在反调试中用此方法来检测断点。所以,我们设置的断点有时候莫名其妙的消失了不要感到奇怪,或许说这是调试器的本身的弱点吧。
2、BPX对所有调用都下断点
2.1BPX可以给引用或者调用了指定API函数的指令都下断点。
2.2或者通过 查看函数列表(ctrl+N)--> 搜索对应函数--> 右键选择查看调用树 --> 从而对函数下断点
3、内存断点:
3.1通过设置内存页的访问属性,来触发异常,从而产生断点。
“Memory,on access(内存访问)”是内存访问断点(读或者写),
“Memory,on write(内存写入)”是内存写断点。
这种类型的断点修改内存页的访问属性。当前我们设置了内存断点。任何代码访问(读,写或者执行代码)了该处代码的话,都会触发异常。
3.2还能够对区块进行内存访问和写入。
3.3内存访问一次性断点
这个断点是一次性断点,当所在段被读取或执行时就中断,中断发生以后,断点将被删除。想捕捉调用或返回到某个模块时,如后面章节中的脱壳时,该类断点就显得特别有用。
部分总结到这里,明天继续。