通过硬件断点对抗hook检测
前言
我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。
hook测试
这里我用win32写了一个MessageBox
的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9
函数用来限制对MessageBoxA
的hook,如果检测到了hook,则调用ExitProcess
直接退出程序
如下所示,这里我们的目的就是通过Inline hook
来修改文本框中的内容
这里使用常规方式修改5个字节的硬编码,通过E9跳转到我们自己的函数进行修改,这里将代码打包成dll
通过远程线程注入,这里显示是注入成功了,但是会被我们的检测函数拦截,这里可以看到拦截的是E9
这个硬编码
然后我们这里对我们的程序的E9指令进行替换,修改为先用call
短跳到没有被监控的区域,然后再跳到我们自己的函数
然而这里还是被拦截,这里显示的是被CRC检测拦截了
我们知道Inline hook
无论是通过E8还是E9跳转,肯定是要修改内存的,那么如果程序有CRC检测,那么我们这种使用汇编跳到自己的处理函数的方法是怎么都行不通的。这里就不能使用常规的方法去规避hook,而是通过CPU的dr0-dr7寄存器去触发异常,通过异常处理函数来修改文本框的值,这里我们首先需要了解的是硬件断点
硬件断点
简单说一下软件断点和内存断点,软件断点就是我们通常在OD里面通过F2下的断点,它的原理是将我们想要断点的一个硬编码修改为cc,内存断点就是通过VirtualProtect
函数来修改PTE的属性来触发异常达到断点的效果,这两种断点都需要修改内存里面的数据。
与软件断点与内存断点不同,硬件断点不依赖被调试程序,而是依赖于CPU中的调试寄存器。调试寄存器有7个,分别为**Dr0Dr7**。用户最多能够设置4个硬件断点,这是由于只有Dr0Dr3用于存储线性地址。其中,Dr4和Dr5是保留的。
在OD里面也能够看到只能设置4个硬件断点
设置硬件断点
Dr0~Dr3用于设置硬件断点,由于只有4个断点寄存器,所以最多只能设置4个硬件调试断点。在这7个寄存器里面,Dr7是最重要的寄存器
L0/G0 ~ L3/G3:控制Dr0~Dr3是否有效,局部还是全局;每次异常后,Lx都被清零,Gx不清零。
若Dr0有效,L0=1则为局部,G0=1则为全局,以此类推
断点长度(LENx):00(1字节)、01(2字节)、11(4字节)
通过DR7的LEN控制
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iMAZMdXi-1650548330263)(image-20220402213410805.png)]
断点类型(R/Wx):00(执行断点)、01(写入断点)、11(访问断点)
流程
被调试进程
1.CPU执行时检测当前线性地址与调试寄存器(Dr0~Dr3)中的线性地址相等。
2.查IDT表找到对应的中断处理函数(nt!_KiTrap01
)
3.CommonDispatchException
4.KiDispatchException
5.DbgkForwardException收集并发送调试事件
DbgkForwardException
最终会调用DbgkpSendApiMessage(x, x)
,第一个参数是消息类型,第二个参数则是选择是否挂起其它线程
调试器进程
1.循环判断
2.取出调试事件
3.列出信息:寄存器、内存
4.用户处理
思路
我们首先明确一下思路,我们知道硬件断点是基于线程的,因为每个线程的CONTEXT
结构是不同的,这里首先就需要找到我们要修改dr寄存器的线程,也就是我们要hook的检测线程,找到线程之后我们通过OpenThread
去获得线程的句柄,然后通过SetUnhandledExceptionFilter
去注册一个异常处理函数,注册完成之后就可以更改dr寄存器的值来触发访问/写入/执行
断点,然后再通过SetThreadContext
放到CONTEXT
结构里面即可
规避检测
那么这里先找到OpenThread
和MessageBoxA
在内存中的地址
g_fnOpenThread = (FNOPENTHREAD)::GetProcAddress(LoadLibrary("kernel32.dll"), "OpenThread");g_dwHookAddr = (DWORD)GetProcAddress(GetModuleHandle("user32.dll"),"MessageBoxA");
然后拍摄快照遍历线程
HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
定位到我们要hook的线程
if (Thread32First(hTool32, &thread_entry32)){do{if (thread_entry32.th32OwnerProcessID == GetCurrentProcessId()){dwCount++; if (dwCount == 1)
这里定位到线程之后我们把THREADENTRY32
里面的进程ID和线程ID打印出来
char szBuffer[0x100];
ZeroMemory(szBuffer,0x100);
sprintf(szBuffer, "PID:%x - TID:%x\n", thread_entry32.th32OwnerProcessID, thread_entry32.th32ThreadID);
OutputDebugString(szBuffer);
然后通过内存中定位的OpenThread
得到线程的句柄
hHookThread = g_fnOpenThread(THREAD_SET_CONTEXT | THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION, FALSE, thread_entry32.th32ThreadID);
拿到线程句柄之后我们通过SetUnhandledExceptionFilter
注册一个异常处理函数MyExceptionFilter
SetUnhandledExceptionFilter(MyExceptionFilter);
这里需要了解SEH异常,在SEH异常中有三个返回值
1.EXCEPTION_EXECUTE_HANDLER(1) 执行except代码2.EXCEPTION_CONTINUE_SEARCH(0) 寻找下一个 3.EXCEPTION_CONTINUE_EXECUTION(-1) 重新执行
通过ExceptionRecord
里面的ExceptionCode
判断错误码是否为EXCEPTION_SINGLE_STEP
即单步异常以及ExceptionAddress
判断是否到我们设置hook的地址,然后通过ChangeContext
修改CONTEXT
,再修改EIP
LONG WINAPI MyExceptionFilter(PEXCEPTION_POINTERS pExceptionInfo)
{if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP){if((DWORD)pExceptionInfo->ExceptionRecord->ExceptionAddress == g_dwHookAddr){PCONTEXT pContext = pExceptionInfo->ContextRecord;ChangeContext(pContext);pContext->Eip = (DWORD)&OriginalFunc;return EXCEPTION_CONTINUE_EXECUTION;}}return EXCEPTION_CONTINUE_SEARCH;
}
这里ChangeContext
要实现的功能就是修改文本框中的内容,esp指向的是MessageBox
,那么esp+8即为MessageBox
的第二个参数
void ChangeContext(PCONTEXT pContext)
{char szBuffer[0x100];DWORD dwOldProtect = 0;DWORD dwLength = 0;LPSTR lpOldText = NULL;char szNewText[] = "SEH Hook successfully";lpOldText = (LPSTR)(*(DWORD*)(pContext->Esp + 0x8));dwLength = strlen(lpOldText);VirtualProtect(lpOldText, dwLength, PAGE_EXECUTE_READWRITE, &dwOldProtect);memcpy(lpOldText, szNewText, dwLength);VirtualProtect(lpOldText, dwLength, dwOldProtect, 0);
}
然后就是Eip修改到hook+2的位置,我们知道一般API起始的位置都是mov edi,edi
,不能从这个起始位置执行,否则会死循环
g_dwHookAddrOffset = g_dwHookAddr + 2;void __declspec(naked) OriginalFunc(void)
{__asm{mov edi,edijmp [g_dwHookAddrOffset]}
}
然后将hook的地址放到dr0寄存器里面,设置dr7的L0位为1即局部有效,断点长度设置为1即18、19位设置为0即可,断点类型设置为访问断点对应的值为0(20、21位设置为0),这样dr7寄存器的1-31位都为0,32位为1,所以将dr7寄存器的值设置为1。然后通过SetThreadContext
存入CONTEXT
结构
threadContext.Dr0 = g_dwHookAddr;threadContext.Dr7 = 1;SetThreadContext(hHookThread, &threadContext);CloseHandle(hHookThread);
实现效果
首先还是使用常规的Inline hook配合E8、E9跳转,被CRC检测拦截
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2hipBxul-1650548330264)(image-20220406192150175.png)]
然后这里把dll打包一下
使用Hook_SEH.dll
注入成功,没有被拦截
这里为了可以使用sprintf
配合OutputDebugString
来看一下CONTEXT
结构里面寄存器的值
如下所示,hook成功
通过硬件断点对抗hook检测相关推荐
- 游戏逆向-2.2VEH+软件/硬件断点实现hook
在上一篇文章中概述了几种常见的inline hook,这章将会讲述通过Windows异常机制实现hook的方法. 实现异常断点hook的步骤: 1.注册veh异常处理函数 2.设置硬件断点 3.通过v ...
- 代码实战硬件断点hook
见字如面,我是东北码农. 上文我们介绍了硬件断点,大家可以回顾一下.本文将介绍使用硬件断点+veh,实现硬件断点hook. 关注"东北码农"后,聊天框回复"硬件断点hoo ...
- 如何对抗硬件断点--- 调试寄存器
1.前言 在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点,硬件断点有什么区别,他们为什么 有些时候不能混用,他们的原理是什么,在学习了 ...
- 硬件断点 DrxHook
硬件断点的实现需要依赖于调试寄存器 DR0~DR7 调试寄存器 DR0~DR3-----调试地址寄存器 DR4~DR5-----保留 DR6 -----调试状态寄存器 指示哪个调试寄存器被命中 DR ...
- 软件调试学习笔记(六)—— 硬件断点
软件调试学习笔记(六)-- 硬件断点 硬件断点 设置硬件断点 触发硬件断点 处理硬件断点 实验:硬件断点的设置与处理 硬件断点 描述: 与软件断点与内存断点不同,硬件断点不依赖被调试程序,而是依赖于C ...
- 企业壳的反调试及Hook检测分析
1.写在开始 最近在学习梆梆壳,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,朋友发了篇帖子[1]介绍了其中的一个反调,学习后收获颇多,给我指明了方向,接下来再对其他反调试进行补充,若 ...
- [系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 硬件设备二 调试分类、软/硬件断点、OpenOCD、JLink、STLink 使用
近期工作开始主用 OpenOCD 来进行相关开发工作的调试,因此本文重点来学习一下!本文以 OpenOCD 为重点,辅以 JLink.STLink 作为对比来进行学习. 调试 本地调试 本地调 ...
- 硬件断点反跳似乎_高性能应用程序:多路复用,反跳,系统字体和其他技巧
硬件断点反跳似乎 by Atila Fassina 通过阿蒂拉·法西纳(Atila Fassina) 高性能应用程序:多路复用,反跳,系统字体和其他技巧 (High Performance Apps: ...
最新文章
- 目标指令c语言是什么,什么是C中的目标文件?
- 下拉框联动_058-ajax之三级联动案例分析
- matlab符号函数绘图法_转载:MATLAB 符号函数作图
- 分享20个漂亮的DIV CSS标准化站点案例
- Go 函数特性和网络爬虫示例
- 小程序开发好学吗?需要掌握哪些知识技能?
- Linux 查看磁盘的属性,Windows XP 查看磁盘属性(转)
- sql 一次性批量插入_考虑使用SQL批量插入的安全性
- Zookeeper应用场景
- python item方法_Python中使用item()方法遍历字典的例子
- ceil() 与 floor() 与 round()
- Python 线程 进程 协程
- python课程报告模板_《Python语言编程课程设计》课程设计报告模版
- 动画设计要考计算机证书吗,影视动画要考哪些证书
- 中国企业应用软件的几次大战
- linux驱动面试题2018
- html实现多文件打包下载 (mp4文件)
- 黑马程序员rocketmq第一章
- 【java】删除文件夹及文件夹中的所有文件
- house of grey
热门文章
- 线索化二叉树,中序建立线索,带线索中序遍历,删除,c/c++描述
- VsCode编辑器如何设置中文,最有效的方法!
- 青岛琴岛学院计算机系的教师有哪些,2016山东青岛理工大学琴岛学院计算机实训教师引进公告...
- 程序员用10分钟写了个旅游管家APP,女友用了直呼贴心
- php 短网址的生成和还原原理
- docker入门----理论部分
- xcode下lua扩展库的编译
- 荣耀战魂冥界回归服务器维护,血月凌空!《荣耀战魂》万圣节活动“冥界的回归”现已开启...
- 使用Axure管理团队项目图文教程 团队协作操作步骤
- 快30岁了,失业了怎么办?