加密与解密 调试篇 动态调试技术 (二)


目录

常见的断点

1.INT 3 断点

检测

绕过

2.硬件断点

原理

 我们给出硬件中断的例子

删除硬件断点

3.内存断点

原理

例子

删除

区别

总结

4.内存访问一次性断点

5.消息断点

例子

删除

6.条件断点

(1)按寄存器条件中断

(2)按存储器条件中断

7.条件记录断点


我们在 (一)中调试了一个程序   接着我们开始继续学习

常见的断点

这里有

INT 3断点
硬件断点
内存断点
消息断点等

1.INT 3 断点

我们在OllyDbg中 可以使用 命令 bp 或者 F12进行断点

INT3断点 就是在程序中 对该位置的代码 进行替换

替换为INT3

INT3 是一个软中断指令 
在x86框架中触发进行调试
INT3就是最常用的断点

其中软中断 是 代码触发的 而不是硬件问题触发的中断

在ollydbg中 其实我们按下F2 程序就会在这里设置 INT3 只是ollydbg进行了隐藏

显示出来的是中断前的指令

INT3 机器码是 0xCC 也叫做 CC指令

在程序执行到INT3指令导致的异常时候

调试器会捕捉到异常
从而停在断点处
然后把断点处的代码恢复为之前的代码

INT3的优点是可以设置无数个断点
缺点是改变了代码 容易被软件检测到



检测

如果软件防止API被下断点
有一些软件检测API的首地址是否为0xCC 

这里给出检测方式

用C语言检测
这个方法就是 取得检测函数的地址
然后读取第一个字节
判断是否为CC
这里是检测的代码 对MessageBoxA


FARPROC Uaddr ;
BYTE Mark = 0;
(FARPROC&) Uaddr = GetProcAddress (LoadLibrary("user32.dll"),"MessageBoxA");
加载 user32.dll库中的 MessageBoxA函数
Mark = *((BYTE*))Uaddr;                 把Mark 设定为 指向 Uaddr的指针
if(Mark == 0xCC)                判断第一个字节是否为0xCC 即INT3
    return TRUE

当程序执行后 对MessageBoxA下断点 程序就会发现

绕过

如果我们要躲过检测 就把断点设置在函数的尾部或者内部 

例如把断点设置在函数入口的下一行 这样我们就可以绕过检测

2.硬件断点

硬件断点和BRx调试寄存器有关

RBx调试寄存器中的 x可以是 0~3的数字

RBx调试寄存器用于设置硬件断点 在CPU执行到设置的地址的时候 
就会触发中断 然后交给调试器进行调试

DRx调试寄存器具有8个寄存器 (DR0~DR7) 其中 某些寄存器又有自己的特性

DR0~DR3:调试地址寄存器 用于保存需要监视的地址 例如设置硬件断点

DR4~DR5:保留 未公开作用

DR6:调试寄存器组状态寄存器

DR7:调试寄存器组控制寄存器

原理

硬件断点的原理是

使用DR0 DR1 DR2 DR3设定地址  (最多设置4个断点)
然后使用DR7 设定状态


硬件执行断点和CC指令执行断点的作用一样
但是 硬件并不会修改地址第一字节为CC 所以更难检测


在调试器检测到DR0~DR3中的地址的时候 就会触发中断 交给调试器

而不是修改代码 进行中断 

在ollydbg中也可以设置硬件中断

 我们给出硬件中断的例子

还是之前的TraceMe.exe

在CPU窗口的寄存器窗口 右键->查看调试寄存器

然后我们在004013AA处设置硬件中断

然后F9执行程序

我们发现 DR0变为中断地址

在我们设置断点后
其实OllyDbg是在DR0~DR3中的一个设置为中断地址 
然后再DR7中设置相应的控制位

当程序调试到中段地址 CPU就会向OllyDbg发送异常信息

然后可以中断

删除硬件断点

调试->硬件断点

当然也有快捷键

在地址按下F4 可以进行硬件中断 并且在中断后自动删除断点

硬件中断对比INT3中断 不容易被程序察觉 并且运行速度快
缺点是 只能设置4个断点

3.内存断点

OllyDbg 可以设置内存访问断点 或者 内存写入断点

原理

对所设置的地址 赋予不可访问 不可写 属性

就这样 当 访问和写入 就会发生异常

OllyDbg捕获异常

比较异常是不是我们设置断点地址

如果是 就中断 然后用户进行操作
因为每一次都要进行比对 来确定是否中断 所以执行速度会慢

所以OllyDbg可能出于执行考虑 内存中断 只能下一个断点

程序运行有3种状态 分别是 读取 写入 和执行

mov dword ptr [405528],edx   对内存进行写入
mov dword ptr edx,[405528]    对内存数据进行读取

例子

使用OllyDbg调试 TraceMe.exe

 我们可以看到 这个 是写入内存中的 汇编指令

我们使用这个下内存断点

我们需要进入数据面板

先对这个地址在数据面板跟随

然后F9运行

 发现他中断在这个地址

删除

如果我们要删除中断 右键->删除内存断点 即可

在这个场景中 硬件断点也可以实现和内存断点相同的效果
单个硬件写入/访断点可以设置为 1字节 2字节 4字节
而且无论选择的数据范围多大 只有前4个字节会起作用

 还是在内存地址中 对地址选择 硬件写入 然后选择 word 就是4个字节

 还是会中断在 这个地址上的下一条指令

区别

硬件写入/访问断点是在执行的下一条进行中断 
内存断点是在触发点的指令处进行中断

对代码也可以下内存访问断点

在代码处 右键 内存访问 然后运行程序 就会断在这个地方

总结

在内存执行的地方 也可以通过内存访问中断


内存访问断点不会修改代码 不会和INT3一样修改代码而被程序校验

所以如果在遇到程序校验 并且硬件断点失灵的情况下 可以使用内存断点

4.内存访问一次性断点

Windows对内存使用段分页式管理

在OllyDbg中

按ALT+M 就可以看内存

这里出现很多段 然后每个段都有不可访问 读 写 执行属性

在相应的段 右键

 这个就可以用于整个内存开设置该类断点

这个断点是一次性断点 所在段在被读取或者执行就会中断

中断以后 就会删除该断点

如果想捕捉调用 或者返回某个模块

该类断点就特别有用
其中还有断点 


设置内存访问断点 这个断点和在访问上设置断点 命令的功能大致相同

所不同的是这个 内存访问断点不是一次性的


并且这个断点是要在NT框架下使用

并且仅在这个框架下使用

5.消息断点

Windows本身就是消息驱动的  如果调试的时候没有合适的断点

可以尝试使用消息断点

当某个特定窗口接收到某个特定消息时
消息断点将程序中断

消息断点和INT3断点的区别在于:

INT3断点可以在程序启动之前设置
消息断点只有在 窗口被创建后才可以被设置 并且拦截消息

当用户单击一个按钮、移动光标或者向文本框输入文字的时候

一条消息就会发送给当前窗体
所有发送的消息都有4个参数

1个hwnd(窗口句柄)
1个msg(信息编号)
2个long(32位长的参数)

windows通过句柄 来识别他所代表的句柄

例如 点击某个按钮
Windows通过句柄识别按了哪一个按钮
然后发送相对于的消息来通知程序

我们通过例子

例子

TraceMe

我们直接F9运行程序

我们输入 用户名和序列号 随便输入 然后不点击check

 我们先进入消息窗口

 这里就是我们现在存在的窗口 也是我们进行消息窗口打断点的地方

我们找到 check这一行

 打上消息断点

 在消息 这一栏 选择 202的函数

我们check 类型是 button 按钮 所以如果我们点击了这个按钮
会发送 WM_LBUTTONUP这个消息 所以我们需要中断在这个消息处

然后我们回到程序 点击check

 他会中断在Windows系统代码中 就是传递消息

这个时候 我们是在系统领空 处于系统底层代码
不属于TraceMe程序代码 所以我们无法通过 快捷键ALT+F9 或者CTRL+F9回到程序领空

我们使用快捷键 ALT+M

 

 关注这个 TraceMe 程序 然后他的代码段 因为我们想要回到代码段 找到这个关键函数

所以我们 在这里打上断点 当程序执行完底层代码 就会返回程序 代码

意思就是 点击完check 他会发送消息给windows

然后消息传递完 返回程序 我们就重新回到了程序领空

我们在F2打上断点

 F9 进行执行

 这里的代码 是程序的消息循环处

这段代码是消息循环 
不断处理TraceMe的消息 
这个时候不会直接处理按钮事件

如果我们进行F7单步跟踪

就会重新进入系统代码

 这里就重新进入了系统代码

然后我们重复

在程序代码区设置断点 然后执行

 说明还是不是传递按钮消息

我们继续来一次

成功到了 按钮传递消息的程序内的地方了

删除

ALT+B 删除即可

6.条件断点

在调试过程中
我们经常希望能够满足什么条件猜会中断

这类 就叫做条件断点


而且OllyDbg中可以 按寄存器 存储器 消息等条件设断

条件断点是一个带有条件表达式的普通INT3断点


当调试器遇到这类断点 断点将计算表达式的值

如果结果非0 或者 表达式有效

那么断点就生效

(1)按寄存器条件中断

打开Conditional_bp.exe

查找 00401476处

然后在这里设置条件

 或者在命令行插件中

bp 401476 eax==0400000

然后程序执行到这里 如果 eax=0400000 就会发生中断

(2)按存储器条件中断

我们继续使用这个程序来

我们假设 这个程序需要打开一个文件

那么就是使用CreatFileA函数 这个函数是用于打开一个文件

这里给出函数的结构

HANDLE CreateFile{
    LPCTSTR lpFileName,                        指向文件名的指针
    DWORD dwDesireAccess,                      访问模式
    DWORD dwShareMode,                         共享模式
    LPSECURITY_ATTRIBUTES,                      指向安全属性的指针
    DWORD dwCreationDistribution,              如何创建文件
    DWORD dwFlagsAndAttribute,                 文件属性
    HANDLE hTemplateFile                        用于复制文件的句柄
};

我们了解完后 运行程序看看有没有要打开文件夹的按钮

这里我们

发现 调用了四次 CreateFileA 

所以肯定是存在这个函数 所以我们对这个函数进行断点

 然后重新执行程序

断点了在这个

然后我们到栈上

发现了函数的参数都已经入栈了 所以这里我们就可以进行断点

但是我们需要知道这个是在栈的什么地方

所以我们

 

 假设我们需要得到 filename 那么他就是在 esp+4的地址上存放

[esp+4]这个是得到第一个参数 就是filename的内存地址
[[esp+4]]这个是得到 第一个参数 就是filename在内存地址存入的字符串是多少

假设我们需要得到字符串

[STRING[esp+4]]=="c:\\1212.txt"

这就是 会返回 当 CreateFileA函数 打开 c:\\1212.txt的时候 这个函数 filename存放的是多少

使用命令行就是下面的

bp CreateFileA,[STRING[esp+4]]=="c:\\1212.txt"

重新运行程序

 这里就是当程序打开1212.txt后断点的地方了

7.条件记录断点

条件记录断点 

除了具有条件断点的作用 还能记录断点处函数表达式 或者函数的参数值
也可以通过设置断点的次数 每次符合暂停条件的时候 计数器-1

还是拿CreateFileA函数为例子

 在这个程序的第一条指令

 

 或者 SHIFT+F4

进入条件记录断点

 

 注意这个

表达式里面 如果是 [esp+4] 那么就是地址

我们就设置 指向ASCII字符串的指针


这里的功能 就和 [STRING] 功能一样

然后我们确定 开始执行

出现断点

然后快捷键 ALT+L 打开 log data窗口

 出现了 我们的数据

到这里 常见的中断 就结束了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/24371.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【JDK】一、jdk17的下载与安装配置(图文说明超详细)

JDK17的下载与安装 前言一、JDK17下载1、官方下载地址 ( Oracle中国的官方网站) 二、JDK17安装1、先看一下我现在的java版本和环境变量2、开始新的安装第一步:双击下载的jdk-17.0.7_windows-x64_bin.exe 进入到安装页面第二步:jdk…

sqlmap命令大全(附详细扫描流程)

一、sqlmap命令大全。 -u 指定目标URL (可以是http协议也可以是https协议)-d 连接数据库--dbs 列出所有的数据库--current-db 列出当前数据库--tables 列出当前的表--columns 列出当前的列-D 选择使用哪个数据库-T 选择使用哪个表-C 选择使用哪个列--dump 获取字段中的数据--…

破解mysql用户的密码

假如mysql数据库中有一个 prod_blb 用户,你作为root管理员,想知道它的密码,又不想修改它的密码。这个时候就只能通过获取到 prod_blb 用户加密的密码进程破译 1、MYSQL加密方式 MYSQL数据库的认证密码有两种方式,MYSQL 4.1版本之…

《Spring Guides系列学习》guide6 - guide10

要想全面快速学习Spring的内容,最好的方法肯定是先去Spring官网去查阅文档,在Spring官网中找到了适合新手了解的官网Guides,一共68篇,打算全部过一遍,能尽量全面的了解Spring框架的每个特性和功能。 接着上篇看过的gu…

【源码解析】流控框架Sentinel源码深度解析

前言 前面写了一篇Sentinel的源码解析,主要侧重点在于Sentinel流程的运转原理。流控框架Sentinel源码解析,侧重点在整个流程。该篇文章将对里面的细节做深入剖析。 统计数据 StatisticSlot用来统计节点访问次数 SpiOrder(-7000) public class Statis…

跨时钟域数据同步

跨时钟信号直接传输在信号跳变时违背本地时钟域的时序要求(建立时间约束,保持时间约束),容易产生亚稳态,无法确定亚稳态何时结束以及结束时保持在何种状态上。 用同步器抑制亚稳态的往下传播的概率,根据情…

H3C IPSec IKE野蛮模式

这里使用H3C模拟器。 H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。以下是配置步骤: 创建IKE提案: system-view…

QT圆形进度条(QT桌面项目光照强度检测)

文章目录 前言一、编程思路二、核心代码实现总结 前言 本篇文章我们讲解QT实现圆形进度条,并实现动态的效果。 一、编程思路 实现QT圆形进度条其实是非常简单的,思路就是画两个圆弧。 这里大家就会觉得很奇怪了为什么画两个圆弧就能实现圆形进度条了呢…

轻NAS搭建 - 使用微力同步搭建私人云盘,无需公网IP也能远程访问

文章目录 1.前言2. 微力同步网站搭建2.1 微力同步下载和安装2.2 微力同步网页测试2.3 cpolar的安装和注册 3.本地网页发布3.1 Cpolar云端设置3.2 Cpolar本地设置 4. 公网访问测试5. 结语 1.前言 私有云盘作为云存储概念的延伸,虽然谈不上多么新颖,但是其…

华为OD机试之不含101的整数(Java源码)

不含101的数 题目描述 小明在学习二进制时,发现了一类不含 101的数,也就是: 将数字用二进制表示,不能出现 101 。 现在给定一个整数区间 [l,r] ,请问这个区间包含了多少个二进制不含 101 的整数? 输入描述…

2023全球最佳医院榜单及简要介绍

作为医学类的访问学者、博士后及联合培养博士们,都希望到世界知名医院进行临床研修交流及科研学习。2023 年世界最佳医院排行榜的发布为申请者提供了目标平台,现知识人网小编整理刊出。 近期,《新闻周刊》和全球数据公司 Statista 推出了2023…

Vue之MVVM模型

文章目录 前言一、简说MVVM模型二、走进MVVM总结 前言 Vue的创建者在创建Vue时没有完全遵守MVVM(一种软件架构模式),但是Vue的设计受到了他它的启发。这也是为什么经常用vm(ViewModel的缩写)这个变量名表示Vue实例。 …

操作系统第三章——内存管理(中)

九月重楼二两,冬至蝉蜕一钱,煎入隔年雪煮沸,可治人间相思苦疾, 可是,重楼七叶一花,冬日何来蝉蜕,原是相思无解 殊不知 夏枯即为九叶重楼,掘地三尺寒蝉现,除夕子时雪&…

non-protected broadcast场景分析及解决

non-protected broadcast场景分析及解决 在两个app之间互相送消息使用BroadcastReceiver,有时在运行过程中在logcat工具中会发现大片的飘红消息。 要消除这些错误信息,需要在广播的 Sender 和 Receiver 做部分的修改。 错误信息分析 由于 发送端 的 M…

`JOB`的正确打开方式

文章目录 JOB的正确打开方式 简介工作原理使用场景使用方式注意事项启动JOB失败的情况JOB正确打开方式错误方式正确方式进阶方式终极方式 总结 JOB的正确打开方式 最近有一些小伙伴在使用JOB时,由于使用不当,引起一些问题。例如把license占满&#xff0c…

操作系统第四章——文件管理(下)

竹本无心,却节外生枝,藕却有孔,但出淤泥而不染,人生如梦,却却不随人愿,万般皆是命,半点不由人 文章目录 4.1.5 逻辑结构VS物理结构4.1.6 文件的基本操作知识总览创建文件删除文件打开文件关闭文…

【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

GPC_APDU_Transport_over_SPI-I2C_v1.0_PublicRelease

GPC_APDU_Transport_over_SPI-I2C_v1.0_PublicRelease.pdf 目录 1 简介 越来越多的设备,如移动设备、可穿戴设备或其他 IoT(物联网)设备现在正在使用焊接安全元件 (SE)。 这产生了支持 SPI 或 I2C 等物理接口的新需求,以代替以前…

Java 反序列化漏洞

反序列化漏洞是指程序在反序列化期间,通过特殊的调用链引发的一系列安全问题。编程语言中只要存在序列化,反序列化功能就可能存在反序列化的安全问题。这里只针对Java和PHP进行讨论。 序列化漏洞概述 序列化的存在主要是为了存储和传输,将这…

如何设置工业设备的振动监测阈值

工业设备的振动阈值设置是确保设备正常运行和及时维护的关键步骤。本文将介绍一些常见的方法和策略,帮助您正确设置工业设备的振动阈值。 1. ISO 10816 振动烈度表格: ISO 10816 是一项国际标准,提供了设备振动水平的参考值。该标准将设备按…