反调试——断点原理
进行在调试的时候会用到断点这个东西,那么断点的原理是什么,为什么可以断下来呢。
断点其实就是和异常有非常大的关联,首先针对异常的机制,如果发生了异常会先看有没有调试器调试器有没有接受该异常如果有就停在哪里等调试器处理,如果没有调试器就用SEH来处理。
也就是说根据异常以及接受是什么异常导致了有非常多类型的断点,那么接下来大概看一下常用的一些吧。
OD中的F2断点
OD中的按F2可以产生一个断点,根据断点的原理可以猜到,这里肯定是用了什么手脚产生了一个异常,然后调试器捕获了才停到了这里。
用OD随便打开一个进程,然后随便对一条指令打一个F2断点
然后打开CE来查看该地址的内容
这里就突然发现,针对于这里打断点的地址的值其实并不是od里面的那样的,是被改动了的,第一个字节的内容是被CC填充了的,在触发CC指令时就会触发异常,然后这里正好捕获。
CC硬编码的异常就要int3异常,在od里面随便输入一个Int3指令可以看到对于的硬编码就是CC,所以这个又叫int3断点
内存断点
修改内存的一个属性来实现断点,比如修改一个内存属性为不可写属性,但是却往里面写内容,那么就会引发异常,调试器再有接受这种异常就会变成断点处理了
硬件断点
在寄存器中,有一些寄存器用于调试的时候使用,把这些寄存器称为调试寄存器。
调试寄存器一共有八个,名字分别是从Dr0到Dr7。
对于Dr0到Dr3这四个调试寄存器的作用的存放中断的地址。
对于Dr4,Dr5这两个调试寄存器一般不使用
