通过硬件断点对抗hook检测

最新推荐文章于 2025-04-20 10:27:40 发布
最新推荐文章于 2025-04-20 10:27:40 发布
阅读量2.5k 收藏 11
点赞数
文章标签: web安全 windows 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hongduilanjun/article/details/124332547
版权
本文探讨了如何通过硬件断点来对抗hook检测。介绍了硬件断点的工作原理,包括Dr0-Dr7寄存器的作用,以及设置硬件断点的流程。通过设置线程异常处理函数,修改调试寄存器触发断点,从而实现规避检测的目标。实验结果显示,该方法能够成功绕过CRC检测,实现DLL注入而不被拦截。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。

hook测试

这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对MessageBoxA的hook,如果检测到了hook,则调用ExitProcess直接退出程序

在这里插入图片描述

如下所示,这里我们的目的就是通过Inline hook来修改文本框中的内容

在这里插入图片描述

这里使用常规方式修改5个字节的硬编码,通过E9跳转到我们自己的函数进行修改,这里将代码打包成dll

在这里插入图片描述

通过远程线程注入,这里显示是注入成功了,但是会被我们的检测函数拦截,这里可以看到拦截的是E9这个硬编码

在这里插入图片描述

然后我们这里对我们的程序的E9指令进行替换,修改为先用call短跳到没有被监控的区域,然后再跳到我们自己的函数

然而这里还是被拦截,这里显示的是被CRC检测拦截了

在这里插入图片描述

我们知道Inline hook无论是通过E8还是E9跳转,肯定是要修改内存的,那么如果程序有CRC检测,那么我们这种使用汇编跳到自己的处理函数的方法是怎么都行不通的。这里就不能使用常规的方法去规避hook,而是通过CPU的dr0-dr7寄存器去触发异常,通过异常处理函数来修改文本框的值,这里我们首先需要了解的是硬件断点

硬件断点

简单说一下软件断点和内存断点,软件断点就是我们通常在OD里面通过F2下的断点,它的原理是将我们想要断点的一个硬编码修改为cc,内存断点就是通过V

最低0.47元/天 解锁文章
红队蓝军
关注
二、C++反作弊对抗实战 (进阶篇 —— 10.利用硬件断点 + 结构化异常VEH HOOK对抗方法)
Koma的主页
03-04 1430
本章节详细讲述了VEH HOOK检测对抗的方法,本文对应的代码在2.09文件夹中。上面这些都只是一些基础的对抗方法,对抗与绕过都是一次思维上的跳跃,欢迎大家参与讨论并留言!
二、C++反作弊对抗实战 (进阶篇 —— 9.利用硬件断点 + 结构化异常 SEH HOOK)
Koma的主页
03-04 1383
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个
7. SEH + 硬件断点HOOK
My classmates
11-04 2482
DLL #include<windows.h> #include <TlHelp32.h> #include <stdio.h> #include <limits.h> typedef HANDLE(WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); OPENTHR...
Mhook - 一个Windows API钩子库的使用教程
最新发布
gitblog_00888的博客
04-20 396
Mhook - 一个Windows API钩子库的使用教程 mhook A Windows API hooking library 项目地址: https://gitcode.com/gh_mirrors/mho/mhook ...
硬件断点
weixin_43046297的博客
03-03 1664
1.硬件断点的原理更复杂,检测更难,暂时不了解反硬件断点的反调试的解决方法 2.硬件断点停留的位置,是设置断点的下一行,和CC断点与内存断点不同 3.设置模式: (1).硬件执行断点,选中代码,右键–断点硬件执行 利用command,HE xxxx,也可以给地址、调用函数等设置硬件断点 (2)在内存中设置硬件断点,选中地址(第一个字节就OK),右键–断点硬件写入(可以选长度),也可以设置硬件访...
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点检测 兼容各大游戏保护各系统
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 4202
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
硬件断点检测与绕过
weixin_33834137的博客
06-20 2180
此时Dr0为4271B5,表示4271B5地址处被设置了硬件断点。现在我们来看看CONTEXT结构。 这里我们可以看到context结构中Dr0~Dr3寄存器的内容。黄色标注的4271B5是我们设置了硬件断点的地址。其他三个粉红色标注的位零,因为我们只设置了一个硬件断点,所以它们是空的。 当异常处理完毕以后,context中的值将被清零,我们一起来看一看,直接运行起来,断在第二个断...
浅谈hook攻防
hongduilanjun的博客
05-09 3275
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
TesSafe.sys过驱动保护技术:读写内存与硬件断点
最后,设置硬件断点是调试中的重要一环,但可能会被保护系统检测到。硬件断点是直接在处理器的调试寄存器中设置的,如果 TesSafe 监控这些寄存器,那么就需要找到方法来避开检测。 为了实现这些目标,文档中提到了 ...
检测当前进程是否存在硬件断点
把梦想放飞在蓝色的天空里...
09-18 3185
当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬断的方式来间接修改。 以下代码片段为了检测当前进程是否存在硬件断点而写: char buff[MAX_PATH] = {0}; DWORD __stdcall ThreadFunc(void* param) { DWORD dwID = GetCurrentProcessId(); HANDLE hSnap = Creat
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
c++硬件断点使用示例
03-18
c++硬件断点使用示例,喜欢调试的同学可以参考一下,应该有用!
PSPLink 硬件断点+APIHOOK显示 (Bins)
12-06
PSPLink 硬件断点+APIHOOK显示 (Bins) 作者为TPU 经其同意,先分享给大家
硬件hook
Todog的博客
02-20 1167
硬件hook的技术 1,用来脱壳。 2,游戏辅助。 3,反调试。 什么是线程?什么是EIP? EIP是指向下一个执行的代码,是寄存器 进程是不能执行的,不能跑起来。我们的进程能执行是线程来进行辅助。宿主(进程)和寄宿者(线程)二者关系。 cpu存在线程,在操作系统,线程是全局概念。 线程上下文。即时不时运行。 #include < iostream > #include <windows.h> using namespace std; int main() { C
代码实战硬件断点hook
01-18 1226
代码实战硬件断点hook
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3846
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hook:VT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7772
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值