0
点赞
收藏
分享

微信扫一扫

反调试 - int 2dh , int 3h

悄然丝语 2022-07-27 阅读 60
调试器2d#include编程语言

原理

第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。

如果有调试器,调试器就会接管这个 int 2dh 产生的异常从而不走我们设置的异常回调处理函数,当然如果调试器选择不接管这个异常我们是无法检测出调试器的,所以这是一种比较低级的反调试手段。

代码

int2d_x64.asm:

  • 首先创建一个.cpp 文件,改下后缀为 .asm
  • 找到这个asm 文件右键 - 属性,设置成如下:

    • 反调试 - int 2dh , int 3h_#include


    • 反调试 - int 2dh , int 3h_2d_02

命令行:​​ml64 /Fo $(IntDir)%(fileName).obj /c %(fileName).asm​​​ 输出:​​$(IntDir)%(fileName).obj​

  • 最后填入代码:

.code 

__int2d proc
    int 2dh
    nop
    ret
__int2d endp

end

Test.cpp:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

extern "C" void __int2d();

BOOL isDebugger = TRUE;

// 我们的异常接管函数
static LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo){
    
    isDebugger = FALSE;

    // 如果引发异常的是一个断点
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT){
        // 忽略该异常,继续执行
        return EXCEPTION_CONTINUE_EXECUTION;
    }

    // 继续向上一层 seh 查找异常处理方法
    return EXCEPTION_CONTINUE_SEARCH; 
}

int main()
{
    // 注册 veh,1代表第一个被调用(非零都是第一个被调用)
    PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);

    // 使用 int 2dh 触发异常
    __int2d();

    // 删除 veh
    RemoveVectoredExceptionHandler(Handle);

    // 判断调试器
    if (isDebugger == TRUE) {
        cout << "发现调试器" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }

main_end:
    getchar();
    return 0;
}

效果图

vs 调试:

反调试 - int 2dh , int 3h_调试器_03

正常启动:

反调试 - int 2dh , int 3h_2d_04

同理 int3 反调试代码:

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

BOOL isDebugger = TRUE;

// 我们的异常回调处理函数
LONG CALLBACK VectoredHandler(_In_ PEXCEPTION_POINTERS ExceptionInfo) {
    isDebugger = FALSE;

    // 如果这个异常属于断点异常
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_BREAKPOINT) {
        // 因为 int3 属于陷阱异常,中断完成后要回到产生异常的下一条指令(否则会一直产生 int3 陷入死循环)
#ifdef
        ExceptionInfo->ContextRecord->Rip++;
#else
        ExceptionInfo->ContextRecord->Eip++;
#endif
        // 忽略异常继续执行
        return EXCEPTION_CONTINUE_EXECUTION;
    }

    // 继续向上一层 seh 查找异常处理方式
    return EXCEPTION_CONTINUE_SEARCH;
}

int main()
{
    // 注册 veh
    PVOID Handle = AddVectoredExceptionHandler(1, VectoredHandler);

    // 手动触发异常
    __debugbreak();

    // 删除 veh
    RemoveVectoredExceptionHandler(Handle);

    // 判断调试器
    if (isDebugger == TRUE) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }

    getchar();
    return 0;
}



举报

相关推荐

int sum(int val)//int sum2(int val) 间接递归

#includePython后端开发

mysql int(3)与int(11)的区别

mysql带符号数据库MySQL

C++/R 期末冲刺3h

c++开发语言最小值字节数编程语言代码人生

扩展int13h调用详解

错误码ios分区表系统/运维

MiniCPM-Llama3-V-2_5-int4

elasticsearch大数据搜索引擎

python3 int转字符

字符串格式化pythonicoPython后端开发

python3 str 转int

字符串字符串转换pythonPython后端开发

关于int main( int argc, char* argv[] ) 中arg和argv参数的解析及调试

main函数字符串函数体前端开发

HDU 4436 str2int

HDU#includei++git云平台云计算

用3H理论,创作一个好产品

1每日打卡随笔青枫分享素材库
0 条评论