本文探讨了反调试技术,如使用isdebuggerpresent()函数进行调试检测,并介绍了通过patch或hook方式绕过的可能。深入解析了调试器工作原理,特别是在Linux平台下ptrace系统调用的作用,以及内存断点和硬件断点的区别与应用。
反调试:
了解了一些反调试的api,比如isdebuggerpresent()这个函数,会不断轮询ptraceid来判断是否被调试,然后也看到师傅的博客里,是通过patch或者hook那个函数,修改返回值的方式绕过,虽然没碰到到,但是理论上是可行的。
调试器原理:
同时也理解了下那些调试器是如何做到调试的,在linux平台下提供了一个ptrace的系统调用,通过传入的参数不同,对被调试的进程有不同的行为,当被调试进程载入调试器时,就成为了调试器的子进程,默认传入了一个REMOTEME的参数,这时调试器就可以控制和调试进程了,感觉windows上也一样,差不多。
内存断点和硬件断点:
内存断点是通过给内存页设置属性,当执行到断点位置,触发0e异常,检查这个地址是不是我们打断点的位置,系统执行异常处理程序,反馈给调试器,同时内存断点可以下很多个,但是速度很慢
硬件断点是由cpu里四个调试寄存器管理的,速度比较快,也是触发异常。
明日目标:讨论数据结构课设,java作业完成,深入理解计算机系统看20页。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
