硬件调试:如何对抗硬件断点的一 --- 调试寄存器疯狂代码！

　　1.前言

　　在我跨入ollydbg

门

时候

就对ollydbg里面

各种断点充满了疑问

以前我总是不明白普通断点

内存断点

硬件断点有什么区别

他们为什么有些时候不能混用

他们

原理是什么

在学习了前辈们

文章以后

终于明白了

些东西

希望这篇文章能让你对硬件断点

原理和使用有

些帮助

　　2.正文

　　--------------------------------------------------

　　i.硬件断点

原理

　　在寄存器中

有这么

些寄存器

它们用于调试

人们把他们称为调试寄存器

调试寄存器

共有8个名字分别从Dr0-Dr7

所以我们也把调试寄存器简单

称为Drx

　　对于Dr0-Dr3

4个调试寄存器

他们

作用是存放中断

地址

例如:401000

　　对于Dr4

Dr5这两个寄存器我们

般不使用他们

保留

　　对于Dr6

Dr7这两个寄存器

作用是用来记录你在Dr0-Dr3中下断

地址

属性

比如:对这个401000是硬件读还是写

或者是执行；是对字节还是对字

或者是双字

　　好了

从这里你可能明白

些东西

　　1.　为什么在OD里面只能下4个硬件断点？　

　　2.　为什么下硬件断点有

word

dword只分？

　　3.　为什么下硬件断点有读

写

执行只分？

　　ii.有关F4

区别

　　在ollydbug

help里面只是提到如何使用F7和F8

使用

并没介绍说明他们

实现原理

　　现在我们来做

个实验

　　实验

(F4

原理)

　　1.随便找

个

载入OD

构造

个死循环

　　就象这样:

00400154　>　90　　　　　　　nop　　　　　　　　　　　　　　　　　//EP停在这里
00400155　　90　　　　　　　nop
00400156　　90　　　　　　　nop
00400157　　90　　　　　　　nop
00400158　^EBFA　　　　　　jmp天2国际.<ModuleEntryPo>　//构造个死循环
0040015A　　61　　　　　　　popad
0040015B　　94　　　　　　　xchgeax,esp

　　2.对0040015A这

行按下F4

由于死循环

直运行

　　3.调试器

窗口里

右键--查看调试寄存器

　　结果在Drx里面显示:

DR00040015A　　　　　　　　　　　//地址
DR100000000
DR200000000
DR300000000
DR6FFFF0FF0　　　　　　　　　　//断点属性
DR700000401

　　实验 2(F8原理)

　　1.随便找

个

载入OD

构造

个子

死循环

　　就像这样

00400154t>　E80100D03F　　　call4010015A　　　　//EP停在这里
00400159　　90　　　　　　　nop
0040015A　　90　　　　　　　nop　　　　　　　
0040015B　　90　　　　　　　nop
0040015C　　90　　　　　　　nop　　　　　　　　//对这里下F2断点
0040015D　　C3　　　　　　　retn　　　　　　　//返回

　　2.按下F8

由于INT3断点

中断在0040015C

　　3.调试器

窗口里

右键--查看调试寄存器

　　结果在Drx里面显示:

DR000400159　　　　　　　　　　　　　　//call返回地址
DR100000000
DR200000000
DR300000000
DR6FFFF4FF1　　　　　　　　　　　　　//断点属性
DR700000401

　　实验 3(F7原理)

　　1.随便找

个

载入OD

　　2.双击调试器

窗口里

T标志

将TF从原来

0变成1

　　3.F9运行

　　结果

断在了下面

行

　　实验 4(F2

原理)

　　1.用98

notepad吧

载入OD

构造

个死循环

004010CCN>　90　　　　　　　nop　　　　　　　　　　　　　　　　//EP挺在这里
004010CD　　90　　　　　　　nop
004010CE　^EBFC　　　　　　jmpNOTEPAD.<ModuleEntryPo>//死循环
004010D0　　90　　　　　　　nop　　　　　　　　　　　　　　　　//在这里按下F2普通断点
004010D1　　90　　　　　　　nop

　　2.按下F9

由于死循环

直运行着

　　3.使用LordPE(不要用ollydump)将这个

dump下来

　　4.重新载入OD

　　来看看成什么样子了

004010CCd>$　90　　　　　　nop
004010CD　　.　90　　　　　　nop
004010CE　　.^EBFC　　　　　jmpdumped.<ModuleEntryPo>
004010D0　　　CC　　　　　　3　　　　　　　　　　　　　　　　　//这里变成了CC了
004010D1　　　90　　　　　　nop

　　--------------------------------------------------

　　3.整理总结

　　从实验

和实验 2我们能清楚

看到

F4是直接将该行

地址放入drx里面

F8是将下

行

地址放入到drx里面

他们都使用了调试寄存器

从实验 3中我们知道对于F7来说很可能使用

是将TF置

办法

也就是说当我们按下F7

时候OD把TF置

对于F2来说他是将

第

个字节悄悄

修改成了CC

虽然并没有显示给我看到这个是

个CC

当我们按下F2

时候

OD还没有运行

只是把这个表示记录下来

当运行

时候他就把所有标记

字节修改了

尽管还是显示原来

代码

当然当他

暂停下来就又修改回来了

　　上面

是实验中

原理只是猜测

还没有很好

办法能证明他就是使用TF

下面我继续猜测

下内存断点

原理

　　1.将设置

内存断点

地址记录下来

　　2.对这个地址

内存页面修改其属性

　　如果是内存写断点

就修改为RE(可读

可执行)

　　如果是内存访问断点

就修改为NOACCESS(不可访问)

　　3.只要访问到这个页面就会产生相应

异常

然后由OD来判断是否和记录

断点

致

从而是否中断下来

　　--------------------------------------------------

　　4.后话

　　对于上面

F7和内存断点

原理

我还没想出什么好

办法去找出OD

原理,或许去调试

下ollydbg.exe是

个不错

建议

如果有哪位兄弟知道有什么好办法

希望能告诉我

当然也很欢迎各位和我讨论

Tags: 移位寄存器通用寄存器寄存器硬件调试

硬件调试:如何对抗硬件断点的一 --- 调试寄存器

延伸阅读

最新评论

发表评论

赞助商广告

随机更新

热门标注

最近更新

最新标注