X-FREE的loader程序

于 2008-10-09 16:31:00 发布
阅读量796 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: exception string 算法 api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liuin/article/details/3043105
这篇博客介绍了一种使用DEBUG_API调试X-FREE loader程序的方法,通过设置断点,修改内存中的指令和寄存器状态来实现对目标进程的调试。在调试过程中,当遇到退出事件或异常事件时,程序会进行相应的处理,确保调试过程的正常进行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

算法对我来说挺复杂,没那么多时间研究,等有空再说
写了个loader程序,顺便了解一下debug api,主要思路是在地址$42B425处,置ZF为1
代码是随手写的缺少很多检测
  1. program CPPIDE_LOADER;
  3. uses
  4.   Windows;
  6. {$R *.res}
  7. const
  8.   BP = $42B425;
  9.   int3 :DWORD = $CC;
  10. var
  11.   startinfo :STARTUPINFO;
  12.   pi:PROCESS_INFORMATION;
  13.   DBEvent:DEBUG_EVENT;
  14.   org_code :Byte;
  15.   num: Cardinal;
  16.   ctext : CONTEXT;
  17.   dwNewProt, dwOldProt:DWORD;
  18. begin
  19.   GetStartupInfo(startinfo);
  20.   if not CreateProcess('CPPIDE.exe',nil,nil,nil,False,DEBUG_PROCESS + DEBUG_ONLY_THIS_PROCESS,nil,nil,startinfo,pi) then //调试模式加载进程
  21.   begin
  22.     MessageBox(0,'不能加载CPPIDE.exe','错误',0);
  23.     Halt;
  24.   end;
  25.   while WaitForDebugEvent(DBEvent,INFINITE) do   //等待调试事件
  26.   begin           
  27.     if DBEvent.dwDebugEventCode = EXIT_PROCESS_DEBUG_EVENT THEN       //进程退出
  28.     begin
  29.       //MessageBox(0,'The debuggee exits','Win32 Debug Example no.1',mb_ok + MB_ICONINFORMATION);
  30.       ContinueDebugEvent(DBEvent.dwProcessId,DBEvent.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);
  31.       CloseHandle(pi.hProcess);
  32.       CloseHandle(pi.hThread);
  33.       Halt;
  34.     end
  35.     else if DBEvent.dwDebugEventCode = exception_debug_event then
  36.     begin
  37.       if DBEvent.Exception.ExceptionRecord.ExceptionCode =  exception_breakpoint then
  38.       begin
  39.         if Integer(DBEvent.Exception.ExceptionRecord.ExceptionAddress) <> BP then       //设置断点
  40.         begin
  41.          VirtualProtectEx(pi.hProcess,Pointer(BP),1, PAGE_EXECUTE_READWRITE, dwOldProt);
  42.          ReadProcessMemory(pi.hProcess,Pointer(BP),@org_code,1,num);
  43.          WriteProcessMemory(pi.hProcess,Pointer(BP),@int3,1,num);
  44.          VirtualProtectEx(pi.hProcess, Pointer(BP), 1, dwOldProt, dwNewProt);
  45.          //MessageBox(0,'',PAnsiChar(string(rtn)),0)
  46.         end
  47.         else
  48.         begin                                                   //$42B425处中断,修改ZF的值为1
  49.           WriteProcessMemory(pi.hProcess,Pointer(BP),@org_code,1,num);
  50.           ctext.ContextFlags := CONTEXT_FULL;
  51.           GetThreadContext(pi.hThread,ctext);
  52.           ctext.EFlags := ctext.EFlags or 64;                  //ZF置1(与二进制1000000或)
  53.           ctext.Eip := ctext.Eip - 1;                          //eip回到$42B425
  54.           SetThreadContext(pi.hThread,ctext);
  56.         end;
  57.         ContinueDebugEvent(DBEvent.dwProcessId,DBEvent.dwThreadId,DBG_CONTINUE);       //继续运行
  58.         Continue;
  59.       end;
  61.     end;
  62.     ContinueDebugEvent(DBEvent.dwProcessId,DBEvent.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);       //继续运行
  63.   end;
  64. end.

liuin
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liuin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值