前言

我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等，但其实大体上可以分为两类，一类是基于修改函数地址的hook，一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数，对于一些未导出函数是无能为力的，所以在真实的hook中，Inline hook反而是更受到青睐的一方。

hook测试

这里我用win32写了一个MessageBox的程序，当点击开始按钮就会弹窗，这里我写了一个Hook_E9函数用来限制对MessageBoxA的hook，如果检测到了hook，则调用ExitProcess直接退出程序

如下所示，这里我们的目的就是通过Inline hook来修改文本框中的内容

这里使用常规方式修改5个字节的硬编码，通过E9跳转到我们自己的函数进行修改，这里将代码打包成dll

通过远程线程注入，这里显示是注入成功了，但是会被我们的检测函数拦截，这里可以看到拦截的是E9这个硬编码

然后我们这里对我们的程序的E9指令进行替换，修改为先用call短跳到没有被监控的区域，然后再跳到我们自己的函数

然而这里还是被拦截，这里显示的是被CRC检测拦截了

我们知道Inline hook无论是通过E8还是E9跳转，肯定是要修改内存的，那么如果程序有CRC检测，那么我们这种使用汇编跳到自己的处理函数的方法是怎么都行不通的。这里就不能使用常规的方法去规避hook，而是通过CPU的dr0-dr7寄存器去触发异常，通过异常处理函数来修改文本框的值，这里我们首先需要了解的是硬件断点

硬件断点

简单说一下软件断点和内存断点，软件断点就是我们通常在OD里面通过F2下的断点，它的原理是将我们想要断点的一个硬编码修改为cc，内存断点就是通过VirtualProtect函数来修改PTE的属性来触发异常达到断点的效果，这两种断点都需要修改内存里面的数据。

与软件断点与内存断点不同，硬件断点不依赖被调试程序，而是依赖于CPU中的调试寄存器。调试寄存器有7个，分别为**Dr0_{Dr7**。用户最多能够设置4个硬件断点，这是由于只有Dr0}Dr3用于存储线性地址。其中，Dr4和Dr5是保留的。

在OD里面也能够看到只能设置4个硬件断点

设置硬件断点

Dr0~Dr3用于设置硬件断点，由于只有4个断点寄存器，所以最多只能设置4个硬件调试断点。在这7个寄存器里面，Dr7是最重要的寄存器

L0/G0 ~ L3/G3：控制Dr0~Dr3是否有效，局部还是全局；每次异常后，Lx都被清零，Gx不清零。

若Dr0有效，L0=1则为局部，G0=1则为全局，以此类推

断点长度(LENx)：00(1字节)、01(2字节)、11(4字节)

通过DR7的LEN控制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iMAZMdXi-1650548330263)(image-20220402213410805.png)]

断点类型(R/Wx)：00(执行断点)、01(写入断点)、11(访问断点)

流程

被调试进程

1.CPU执行时检测当前线性地址与调试寄存器（Dr0~Dr3）中的线性地址相等。
2.查IDT表找到对应的中断处理函数（nt!_KiTrap01）
3.CommonDispatchException
4.KiDispatchException
5.DbgkForwardException收集并发送调试事件

DbgkForwardException最终会调用DbgkpSendApiMessage(x, x)，第一个参数是消息类型，第二个参数则是选择是否挂起其它线程

调试器进程

1.循环判断
2.取出调试事件
3.列出信息：寄存器、内存
4.用户处理

思路

我们首先明确一下思路，我们知道硬件断点是基于线程的，因为每个线程的CONTEXT结构是不同的，这里首先就需要找到我们要修改dr寄存器的线程，也就是我们要hook的检测线程，找到线程之后我们通过OpenThread去获得线程的句柄，然后通过SetUnhandledExceptionFilter去注册一个异常处理函数，注册完成之后就可以更改dr寄存器的值来触发访问/写入/执行断点，然后再通过SetThreadContext放到CONTEXT结构里面即可

规避检测

那么这里先找到OpenThread和MessageBoxA在内存中的地址

 g_fnOpenThread = (FNOPENTHREAD)::GetProcAddress(LoadLibrary("kernel32.dll"), "OpenThread");g_dwHookAddr = (DWORD)GetProcAddress(GetModuleHandle("user32.dll"),"MessageBoxA");

然后拍摄快照遍历线程

HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);

定位到我们要hook的线程

if (Thread32First(hTool32, &thread_entry32)){do{if (thread_entry32.th32OwnerProcessID == GetCurrentProcessId()){dwCount++; if (dwCount == 1)

这里定位到线程之后我们把THREADENTRY32里面的进程ID和线程ID打印出来

char szBuffer[0x100];
ZeroMemory(szBuffer,0x100);
sprintf(szBuffer, "PID:%x - TID:%x\n", thread_entry32.th32OwnerProcessID, thread_entry32.th32ThreadID);
OutputDebugString(szBuffer);

然后通过内存中定位的OpenThread得到线程的句柄

hHookThread = g_fnOpenThread(THREAD_SET_CONTEXT | THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION, FALSE, thread_entry32.th32ThreadID);

拿到线程句柄之后我们通过SetUnhandledExceptionFilter注册一个异常处理函数MyExceptionFilter

SetUnhandledExceptionFilter(MyExceptionFilter);

这里需要了解SEH异常，在SEH异常中有三个返回值

1.EXCEPTION_EXECUTE_HANDLER(1) 执行except代码2.EXCEPTION_CONTINUE_SEARCH(0) 寻找下一个 3.EXCEPTION_CONTINUE_EXECUTION(-1) 重新执行

通过ExceptionRecord里面的ExceptionCode判断错误码是否为EXCEPTION_SINGLE_STEP即单步异常以及ExceptionAddress判断是否到我们设置hook的地址，然后通过ChangeContext修改CONTEXT，再修改EIP

LONG WINAPI MyExceptionFilter(PEXCEPTION_POINTERS pExceptionInfo)
{if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_SINGLE_STEP){if((DWORD)pExceptionInfo->ExceptionRecord->ExceptionAddress == g_dwHookAddr){PCONTEXT pContext = pExceptionInfo->ContextRecord;ChangeContext(pContext);pContext->Eip = (DWORD)&OriginalFunc;return EXCEPTION_CONTINUE_EXECUTION;}}return EXCEPTION_CONTINUE_SEARCH;
}

这里ChangeContext要实现的功能就是修改文本框中的内容，esp指向的是MessageBox，那么esp+8即为MessageBox的第二个参数

void ChangeContext(PCONTEXT pContext)
{char szBuffer[0x100];DWORD dwOldProtect = 0;DWORD dwLength = 0;LPSTR lpOldText = NULL;char szNewText[] = "SEH Hook successfully";lpOldText = (LPSTR)(*(DWORD*)(pContext->Esp + 0x8));dwLength = strlen(lpOldText);VirtualProtect(lpOldText, dwLength, PAGE_EXECUTE_READWRITE, &dwOldProtect);memcpy(lpOldText, szNewText, dwLength);VirtualProtect(lpOldText, dwLength, dwOldProtect, 0);
}

然后就是Eip修改到hook+2的位置，我们知道一般API起始的位置都是mov edi,edi，不能从这个起始位置执行，否则会死循环

g_dwHookAddrOffset = g_dwHookAddr + 2;void __declspec(naked) OriginalFunc(void)
{__asm{mov edi,edijmp [g_dwHookAddrOffset]}
}

然后将hook的地址放到dr0寄存器里面，设置dr7的L0位为1即局部有效，断点长度设置为1即18、19位设置为0即可，断点类型设置为访问断点对应的值为0(20、21位设置为0)，这样dr7寄存器的1-31位都为0，32位为1，所以将dr7寄存器的值设置为1。然后通过SetThreadContext存入CONTEXT结构

         threadContext.Dr0 = g_dwHookAddr;threadContext.Dr7 = 1;SetThreadContext(hHookThread, &threadContext);CloseHandle(hHookThread);

实现效果

首先还是使用常规的Inline hook配合E8、E9跳转，被CRC检测拦截

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2hipBxul-1650548330264)(image-20220406192150175.png)]

然后这里把dll打包一下

使用Hook_SEH.dll注入成功，没有被拦截

这里为了可以使用sprintf配合OutputDebugString来看一下CONTEXT结构里面寄存器的值

如下所示，hook成功

通过硬件断点对抗hook检测相关推荐

游戏逆向-2.2VEH+软件/硬件断点实现hook
在上一篇文章中概述了几种常见的inline hook,这章将会讲述通过Windows异常机制实现hook的方法. 实现异常断点hook的步骤: 1.注册veh异常处理函数 2.设置硬件断点 3.通过v ...
代码实战硬件断点hook
见字如面,我是东北码农. 上文我们介绍了硬件断点,大家可以回顾一下.本文将介绍使用硬件断点+veh,实现硬件断点hook. 关注"东北码农"后,聊天框回复"硬件断点hoo ...
如何对抗硬件断点--- 调试寄存器
1.前言在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点,硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了 ...
硬件断点 DrxHook
硬件断点的实现需要依赖于调试寄存器 DR0~DR7 调试寄存器 DR0~DR3-----调试地址寄存器 DR4~DR5-----保留 DR6 -----调试状态寄存器指示哪个调试寄存器被命中 DR ...
软件调试学习笔记（六）—— 硬件断点
软件调试学习笔记(六)-- 硬件断点硬件断点设置硬件断点触发硬件断点处理硬件断点实验:硬件断点的设置与处理硬件断点描述: 与软件断点与内存断点不同,硬件断点不依赖被调试程序,而是依赖于C ...
企业壳的反调试及Hook检测分析
1.写在开始最近在学习梆梆壳,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,朋友发了篇帖子[1]介绍了其中的一个反调,学习后收获颇多,给我指明了方向,接下来再对其他反调试进行补充,若 ...
[系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
硬件设备二调试分类、软/硬件断点、OpenOCD、JLink、STLink 使用
近期工作开始主用 OpenOCD 来进行相关开发工作的调试,因此本文重点来学习一下!本文以 OpenOCD 为重点,辅以 JLink.STLink 作为对比来进行学习. 调试本地调试本地调 ...
硬件断点反跳似乎_高性能应用程序：多路复用，反跳，系统字体和其他技巧
硬件断点反跳似乎 by Atila Fassina 通过阿蒂拉·法西纳(Atila Fassina) 高性能应用程序:多路复用,反跳,系统字体和其他技巧 (High Performance Apps: ...

通过硬件断点对抗hook检测

前言