检测当前进程是否存在硬件断点

最新推荐文章于 2024-03-01 12:00:00 发布
最新推荐文章于 2024-03-01 12:00:00 发布
阅读量3.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 加密解密 点点滴滴
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chence19871/article/details/48549645
本文介绍了一种用于检测当前进程是否存在硬件断点的代码实现方式,通过调用CreateToolhelp32Snapshot、Thread32First、Thread32Next等API来遍历进程内的所有线程,并检查每个线程的DR6和DR7寄存器是否设置了硬件断点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬断的方式来间接修改。

以下代码片段为了检测当前进程是否存在硬件断点而写:

char buff[MAX_PATH] = {0};

DWORD __stdcall ThreadFunc(void* param)
{
	DWORD dwID = GetCurrentProcessId();

	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwID);
	if (hSnap!=INVALID_HANDLE_VALUE)
	{
		OutputDebugStringA("CreateToolhelp32Snapshot success.\n");

		THREADENTRY32 threadEntry;
		threadEntry.dwSize = sizeof(THREADENTRY32);
		BOOL b = Thread32First(hSnap, &threadEntry);
		
		while (b)
		{
			OutputDebugStringA("Thread32First success.\n");

			HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, threadEntry.th32ThreadID);
			if (hThread!=NULL)
			{

				OutputDebugStringA("OpenThread success.\n");

				CONTEXT ctx;
				memset(&ctx, 0, sizeof(CONTEXT));
				ctx.ContextFlags = CONTEXT_ALL;
				b = GetThreadContext(hThread, &ctx);

				if (b)
				{
					OutputDebugStringA("GetThreadContext success.\n");
					if (ctx.Dr6!=0 || ctx.Dr7!=0)
					{
						sprintf_s(buff, "GTC %08x %08x %08x %08x %08x %08x %08x %08x\n",
							&ctx,
							ctx.ContextFlags,
							ctx.Dr0,
							ctx.Dr1,
							ctx.Dr2,
							ctx.Dr3,
							ctx.Dr6,
							ctx.Dr7);

						OutputDebugStringA(buff);
					}
					
				}

				CloseHandle(hThread);
			}
			
			b = Thread32Next(hSnap, &threadEntry);
		}

		CloseHandle(hSnap);
	}

	return 0;
}


绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点检测 兼容各大游戏保护各系统
硬件断点
weixin_43046297的博客
03-03 1692
1.硬件断点的原理更复杂,检测更难,暂时不了解反硬件断点的反调试的解决方法 2.硬件断点停留的位置,是设置断点的下一行,和CC断点内存断点不同 3.设置模式: (1).硬件执行断点,选中代码,右键–断点硬件执行 利用command,HE xxxx,也可以给地址、调用函数等设置硬件断点 (2)在内存中设置硬件断点,选中地址(第一个字节就OK),右键–断点硬件写入(可以选长度),也可以设置硬件访...
硬件断点检测与绕过
weixin_33834137的博客
06-20 2202
此时Dr0为4271B5,表示4271B5地址处被设置了硬件断点。现在我们来看看CONTEXT结构。 这里我们可以看到context结构中Dr0~Dr3寄存器的内容。黄色标注的4271B5是我们设置了硬件断点的地址。其他三个粉红色标注的位零,因为我们只设置了一个硬件断点,所以它们是空的。 当异常处理完毕以后,context中的值将被清零,我们一起来看一看,直接运行起来,断在第二个断...
(x86)硬件断点的原理与测试
walker的博客
04-30 499
硬件中断的原理与测试。
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2586
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
反调试 - 硬件断点
LYSM
07-12 1480
原理 如果程序设置了硬件断点,则 dr0 - dr7 寄存器的值就会改变,其中 dr0 - dr3 存放硬件断点的地址,dr4 - dr5 保留,dr6 存放调试事件的详细信息,dr7 存放断点触发的条件。 可以使用 GetThreadContext 获取线程上下文环境,然后读取当前的 dr0 - dr3 有没有值,有的话就说明调试器设置了硬件断点,说明有调试器。 但是缺点就是如果调试器没有设置硬件断点的话就无法检测调试器,所以这种方法一般都和其他反调试计数配合使用。???? 函数介绍 /* 检索线程上
Windows环境下的调试器探究——硬件断点
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-01 1128
与软件断点内存断点不同,不依赖被调试程序,而是依赖于CPU中的。调试寄存器有,分别为。用户最多能够设置4个硬件断点,这是由于只有Dr0~Dr3用于存储线性地址。其中,Dr4和Dr5是保留的。假如在Dr0寄存器中写入线性地址,是否所有线程都会受影响?其实不会,每个线程都拥有一份独立的寄存器,切换线程时,寄存器的值也会被切换。
断点检测学习
m0_75098930的博客
11-21 508
最开始的时候就遇到了一个问题,我用的virtual studio ,但是这是c++编译的,导致最后的函数指针不是指向的fun函数,这里可以很清楚的看到。这种方法很简单,也很容易绕过,我们来看一下硬件断点硬件断点基于DRx寄存器,换句话说,可以通过检测DRx寄存器来检测硬件断点。突然看到了一种反调试的手段,检测api函数的首字节是否为0xcc,即int 3类型的断点,来反调试,尝试一下。对于内存断点,是以页的方式添加的,设置页的权限位就行了,最常用的两种断点实现了最常用的检测方式。
硬件断点的原理 ---- OD各种断点的原理
热门推荐
wowolook的专栏
05-27 1万+
1.前言       在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点内存断点硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了前辈们的文章以后,终于明白了一些东西。希望这篇文章能让你对硬件断点的原理和使用有一些帮助 2.正文 ------------------------------------------
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
D3D8通用游戏劫持,之前在做DNF的时候需要调试一些地址异常,就弄了一个劫持去调试,现在没用了,具体有需要的自己去改,硬件断点调试异常可以过CRC校验哦..,有时间整理一个易语言的版本..
c++硬件断点使用示例
03-18
c++硬件断点使用示例,喜欢调试的同学可以参考一下,应该有用!
Windows软件调试学习笔记(六)—— 硬件断点
lzyddf的博客
08-10 5089
软件调试学习笔记(五)—— 硬件断点硬件断点设置硬件断点触发硬件断点处理硬件断点 硬件断点 描述: 与软件断点内存断点不同,硬件断点不依赖被调试程序,而是依赖于CPU中的调试寄存器。 调试寄存器有7个,分别为Dr0~Dr7。 用户最多能够设置4个硬件断点,这是由于只有Dr0~Dr3用于存储线性地址。 其中,Dr4和Dr5是保留的。 思考:假如在Dr0寄存器中写入线性地址,是否所有线程都会受影响? 答案:不对,每个线程都拥有一份独立的寄存器,切换线程时,寄存器的值也会被切换。 设置硬件断点 1)Dr0
OD调试器断点——硬件断点
Onlyone_1314的博客
04-11 3364
硬件断点(简称:HBP)是处理器的特性之一,它的工作原理我不是很了解,但是我们会用就行了,我们可以设置硬件断点使程序中断下来。 在OD中我们最多可以设置4个硬件断点,如果想设置第5个的话,你需要删除已经设置了的4个中的其中一个。 硬件断点分为:硬件执行断点(ON EXECUTION),硬件写入断点(ON WRITE),硬件访问断点(ON ACCESS)3种。 硬件执行断点内存的CC断点作用一样,但硬件执行断点并不会将指令首字节修改为CC,所以更难检测。但是有些程序会使用一些技巧来清除硬件断点,应对方法我们
过TP驱动4(硬件断点部分)
guoyi987的专栏
03-17 2847
NtGetThreadContext NtSetThreadContext 需要处理一下    概念性代码:   NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext) { PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s
硬件断点原理
weixin_34001430的博客
07-19 661
这些就是调试寄存器组,Dr0 ~ Dr7。Dr0,Dr1,Dr2,Dr3是用于设置硬件断点的,由于只有4个硬件断点寄存器,所以同时最多只能设置4个硬件断点。产生的异常是STATUS_SINGLE_STEP(单步异常)。Dr4,Dr5是系统保留的。Dr7是一些控制位,用于控制断点的方式,Dr6是用于显示哪个硬件调试寄存器引发的断点,如果是Dr0 ~ Dr3的话,相应位会被置1。即如果是Dr0引发...
CC断点检测
谢绝(无视)留言与私信
02-04 1829
前言以前看过CC断点检测原理. 今天做脱壳练习时, 居然看到cm中有一个fnMessageBox函数中进行了CC断点检测.记录cm中的实际函数00FAF476 <fnMessageBoxEx> 55 push ebp 00FAF477 8BEC mov ebp, esp 00F
反调试检测函数是否被下断点检测 CC 断点
VI___
05-05 1057
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
二、C++反作弊对抗实战 (进阶篇 —— 9.利用硬件断点 + 结构化异常 SEH HOOK)
Koma的主页
03-04 1414
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个
帮我检查代码片段是否属于ARM64硬件断点 我不希望实现软件断点
最新发布
07-14
在waitpid之后,使用PTRACE_GETSIGINFO来检查是否硬件断点触发。 由于我们之前没有清除断点,导致槽位被占用,所以设置失败。现在我们在设置之前清除,应该可以解决。 另外,关于寄存器打印:目前我们只打印...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值