今日看了篇文章,将文中的cc断点检测方法公布在此

最新推荐文章于 2024-02-29 12:40:14 发布
转载 最新推荐文章于 2024-02-29 12:40:14 发布 · 1.3k 阅读 · 0
文章标签:

#c

本文提供了一段用于检测CC断点的汇编代码,并详细解释了每条指令的作用。通过对内存中特定地址范围内的CC(十六进制的99^55)断点进行扫描,来判断是否有调试器介入。

文章转自http://bbs.pediy.com/showthread.php?p=704890#post704890

检测cc断点的代码

00401519   $  BF 96124000   MOV EDI,KGM1Tal.00401296                 ;  入口地址
0040151E   .  B9 00010000   MOV ECX,100                              ;  计数器
00401523   .  B0 99         MOV AL,99                                ;  AL=99
00401525   .  34 55         XOR AL,55                                ;  AL=99^55=CC
00401527   .  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]             ;  循环检测
00401529   .  85C9          TEST ECX,ECX
0040152B   .  74 06         JE SHORT KGM1Tal.00401533                ;  不存在int3断点则跳,否则弹出失败的提示框,也就是说在地址00401296—00401396之间不可下断
0040152D   .  5E            POP ESI
0040152E   .  33F6          XOR ESI,ESI
00401530   .  57            PUSH EDI
00401531   .^ EB C2         JMP SHORT KGM1Tal.004014F5
00401533   >  C3            RETN

对抗此anti cc 的方法太多了,呵呵。以后会添加seh,硬件断点等的检测代码,呵呵.

在Windbg中设置断点追踪打开C++程序远程调试开关的模块
dvlinker的技术专栏
04-10 2万+
在动态调试的Windbg中设置断点,追踪何处打开了C++程序远程调试开关。
【爬虫逆向实战篇】巧妙定位加密参数、断点调试与JS代码分析
吴秋霖的博客
02-25 1万+
爬虫JS逆向实战教程:定位加密参数、断点调试与分析实战
反调试方法---0xCC检测--检验API断点实现反调试
YANG12345_6的博客
08-25 1371
反调试 0xCC检测 软件断点的原理:调试器在对应设置断点的位置上修改该地址的字节为0xCC。若是关键位置检测到该指令,可以判断进程处于调试状态。 0xCC既可以是INT 3指令,也可以是其他指令的操作数。 API断点 API断点一般下在API的首地址处或函数返回地址处。检查这些易被下端的地址首字节是否为0xCC就可以判断程序是否正在被调试 检验代码(以MessageBoxA函数为例): #include <Windows.h> #include<iostream> using na
CC断点检测
谢绝(无视)留言与私信
02-04 2008
前言以前看过CC断点检测原理. 今天做脱壳练习时, 居然看到cm中有一个fnMessageBox函数中进行了CC断点检测.记录cm中的实际函数00FAF476 <fnMessageBoxEx> 55 push ebp 00FAF477 8BEC mov ebp, esp 00F
反调试检测函数是否被下断点检测 CC 断点
VI___
05-05 1099
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
CC断点介绍
weixin_43046297的博客
03-03 2013
一、 1.F2断点:普通断点CC断点、int3断点 2.为什么叫CC断点呢? 可以通过调试看出来,我们在一个指令上下断点, 例如:je xxxx指令,这个指令机器码是74 01 我们在这里下断点 指令所在内存是0040101A,内存处存放的完整数据是74 01 C3 A1 然后我们将这条指令对应内存地址的内容复制到寄存器内:mov eax [0040101A] 按理说,eax内容应该是A1C3...
断点
笔记
06-10 438
断点 断点的种类:软断点、硬件断点、内存断点断点 实现: 将目标地址、地址中的数据记录在断点列表中 将目标地址所在字节改为“CC”,即 int3中断 当程序执行到断点处,发生int3中断,调试器将其捕获 调试器遍历断点列表,若符合某一记录,则暂停程序。 程序继续运行时,调试器根据断点列表将中断处“CC”改回原代码。 特点:一些程序会在运行时计算CRC,若不符合则“自我了断...
opencv---曲线断点检测(八邻域断点检测
qq_44936246的博客
08-24 6138
曲线断裂检测,激光照射
VScode 单步断点调试Nodejs方法总结
最新发布
FeelTouch Labs
02-29 2292
使用vscode开发nodejs程序,能够启动单步调试模式
巧用Visual Studio中的数据断点去排查C++内存越界问题
dvlinker的技术专栏
07-06 1万+
本文通过一个项目问题分析实例,去详细介绍如何使用Visual Studio中的数据断点去快速高效地排查C++软件中的内存越界问题。
新手向反调试手段,检测自身是否被断点-易语言
06-11
写法很简单,思路也很简单,就是第一次初始化时将代码段的开始地址到结束的地址所有的字节累加起来,然后再写个死循环重新累加对比初始化时的字节累加总数,不同就是被下了断点,改下初始化逻辑能应付下破J新手,其原理是 当设置断点后,对应位置的机器码(第一个字节)会被替换成0XCC(对应的汇编指令为int3)字节变化了那么累加起来的数就会不同,达到了检测断点的效果,新手可以看看,大佬绕道咯
网盘资源搜索工具 百度网盘资源搜索工具 v2.0
11-11
百度网盘资源搜索工具这是一个专门针对百度网盘快速搜索的工具,让我们查找资源更加顺利。查找后点击搜索到的标题即可打开网盘资源地址。有点类似于qvod资源搜索工具,非常实用
禁止0xCC断点(最简单的反调试手段)
Ez_coder的博客
09-23 581
#include <iostream> #include <windows.h> using namespace std; int main() { FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr = GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); ...
VSTOOutlook发邮件时To中和中按照名字首字母排序
awulei的专栏
10-11 8617
学进程时,学习的重点应该进程间通信,而学习线程时,重点就应该是线程同步了。想过为什么?fork创建子进程之后,子进程有自己的独立地址空间和PCB,想和父进程或其它进程通信,就需要各种通信方式,例如无名管道(管道,我习惯这么叫无名管道)、有名管道(命名管道)、信号、消息队列、信号量、共享内存等;http://baobao.baidu.com/article/d573a55a8d31f09e7aba8...
汉字转换为拼音的JavaScript库
cidou9391的博客
06-07 2万+
最近在做一个项目,其中有关于百度Echarts地图下转统计图表展示问题,当点击某个城市就显示该城市的下级区域; 如:浙江省,当我点击杭州市时,就显示杭州市的地图! 逻辑:鼠标点击杭州市返回给我的是 “杭州市” 三个字,我要根据这三个字查找杭州市的地图 Json 数据,但是 Jso...
GB2312和ASCII码点阵字库HZK, ASC整理
热门推荐
来自工作的思考
08-12 4万+
需求:提取HZK和ASC文件数据,显示,并转换成Unicode编码? 开发工具&平台:Qt4.7 & Windows7     概述: 1. 国标码(GB)  2. 机内码:GB2312编码,GBK编码,GB18030编码,时间顺序,包含关系,中国人自己发明的 3. ASCII: 4. 区位码: 5. Unicode码: 关系式: GB=区位码+
1f7b9a6b7c5.html,查看源码: rijndael_for_linux.zip_ecb_e_m.txt 第2页 - VerySource
weixin_39860064的博客
06-20 2万+
CT=2D60BC0BC950EEE7E36D50E971CF68D0I=199KEY=B0328218DF523A0C3E89141C56772C02CC4773BEB961AD41PT=2D60BC0BC950EEE7E36D50E971CF68D0CT=49A4643E535F45A1ABDEF41ABABBE268I=200KEY=5E3FD7ACD8EF334D772D702205286...
MD5加密的16位
05-26 1万+
后台密码替换:16位7a57a5a743894a0e32位:21232f297a57a5a743894a0e4a801fc3密码就是admin 469e80d32c0559f8   那么密码就是admin888123                ac59075b964b0715 1234                52d04dc20036dbd8 12345                e
硬件断点检测与绕过
weixin_33834137的博客
06-20 2245
此时Dr0为4271B5,表示4271B5地址处被设置了硬件断点。现在我们来看看CONTEXT结构。 这里我们可以看到context结构中Dr0~Dr3寄存器的内容。黄色标注的4271B5是我们设置了硬件断点的地址。其他三个粉红色标注的位零,因为我们只设置了一个硬件断点,所以它们是空的。 当异常处理完毕以后,context中的值将被清零,我们一起来看一看,直接运行起来,断在第二个断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值