利用DEBUG API编写Loader Path

最新推荐文章于 2024-10-23 18:45:00 发布
最新推荐文章于 2024-10-23 18:45:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: 收藏转载 文章标签: api path null exception thread 数据结构
本文介绍了一个使用DebugAPI实现的简单Loader程序,该程序能够启动目标程序,并具备读取/修改目标程序内存或寄存器的功能。它还实现了针对特定位置的INT3断点插入、解压部分加壳程序及若干Anti-Anti-Debug特性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Loader并不是什么很神秘的技术,微软提供了一组Debug Api来方便第三方监视程序.这里我用Debug Api制作了一个简单的Loader程序.
   这个Loader要干的事有:
   1.启动目标程序.
   2.读取/修改目标程序的内存 或 寄存器
   用到的Debug Api有:
  CreateProcess —— 用于创建被调试进程
  WaitForDebugEvent —— Debug Loop(调试循环)的主要构成函数
  ContinueDebugEvent —— 用于构成Debug Loop
  GetThreadContext —— 得到被调试进程的寄存器信息
  SetThreadContext —— 设置被调试进程的寄存器信息
  ReadProcessMemory —— 得到被调试进程的内存内容
  WriteProcessMemory —— 设置被调试进程的内存内容
   相应的数据结构如下
  CONTEXT —— 寄存器结构
  STARTUPINFO —— Start信息
  PROCESS_INFORMATION —— 进程相关信息
  DEBUG_EVENT —— Debug Event(调试事件)结构
   Loader具体代码如下:
// MemoryReader.cpp : 定义控制台应用程序的入口点。
// AntiDebug:IsDebugPresent如何避开?
// 加壳处理不完善
//

#include "stdafx.h"
#include "windows.h"
#include "Commdlg.h"
#include "winnt.h"

BYTE INT3 = 0xCC;

//写入前的
BYTE Old;

//页面属性
DWORD OldProtect;

//是否已写入INT3
bool HasINT3 = false;

bool IsFirstINT3 = true;

DWORD BreakPoint = 0x00452191;

BYTE Org[8= {0xE8,0x4E};

//判断是否解压完成
bool IsUnpacked(PROCESS_INFORMATION pi)
{
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    printf("Exe Info:Eax:%x,Esp:%x,Eip:%x/n",context.Eax,context.Esp,context.Eip);        
    ResumeThread(pi.hThread);
    BYTE mem[8];
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    ReadProcessMemory(pi.hProcess,(LPCVOID)BreakPoint,&mem,8,NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    printf("hex num is:%x,%x,%x,%x/n",mem[0],mem[1],mem[2],mem[3]);
    if(mem[0^ 0xff == Org[0&& mem[1^ 0xff == Org[1])
    {
        //不能乱调用
        Old = mem[0];
        return TRUE;
    }
    return false;
}

//写INT3
bool WriteINT3(PROCESS_INFORMATION pi)
{
    //VirtualAllocEx(pi.hProcess,(LPVOID)0x0101259b,sizeof(INT3), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    SuspendThread(pi.hThread);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&INT3,sizeof(INT3),NULL);
    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
    HasINT3 = ret;
    ResumeThread(pi.hThread);
    return ret;
}

//改回去
bool CleanINT3(PROCESS_INFORMATION pi)
{
    //SuspendThread(pi.hThread);
    bool ret = WriteProcessMemory(pi.hProcess,(LPVOID)BreakPoint,&Old,sizeof(Old),NULL);
    if(ret == false)
    {
        printf("改回去失败!/n");
    }
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    context.Eip--;
    SetThreadContext(pi.hThread,&context);

    printf("已经改回去了,Eax:%x/n",context.Eax);
    return ret;
}

//隐藏Debug
void HideDebug(PROCESS_INFORMATION pi)
{
    BYTE ISDEBUGFLAG = 0x00;
    int ISHEAPFLAG = 2;
    SuspendThread(pi.hThread);
    CONTEXT context;
    ZeroMemory(&context,sizeof(CONTEXT));
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
    GetThreadContext(pi.hThread,&context);
    //IsDebugPresent_Flag
    WriteProcessMemory(pi.hProcess,(LPVOID)(context.Ebx+0x2),&ISDEBUGFLAG,1,NULL);
    //NTGlobal_Flag  用0D则为70  这个为0 防止其他调试器存在
    WriteProcessMemory(pi.hProcess,(LPVOID)(context.Ebx+0x68),&ISDEBUGFLAG,1,NULL);
    //GetProcessHeap_Flag
    DWORD HeapAddress;
    ReadProcessMemory(pi.hProcess,(LPCVOID)(context.Ebx + 0x18),&HeapAddress,sizeof(HeapAddress),NULL);
    WriteProcessMemory(pi.hProcess,(LPVOID)HeapAddress,&ISHEAPFLAG,sizeof(ISHEAPFLAG),NULL);

    ReadProcessMemory(pi.hProcess,(LPCVOID)(context.Ebx + 0x68),&ISDEBUGFLAG,1,NULL);
    printf("NT_GLOBAL=%d/n",ISDEBUGFLAG);
    ResumeThread(pi.hThread);
}


int main(int argc, char* argv[])
{
    char f_name[256];
    f_name[0= NULL;
    OPENFILENAME filename;
    ZeroMemory(&filename,sizeof(OPENFILENAME));
    filename.lStructSize = sizeof(OPENFILENAME);
    filename.hwndOwner = NULL;
    filename.lpstrFilter = "*.exe";
    filename.lpstrFile = f_name;
    filename.nMaxFile = 256;
    filename.lpstrInitialDir = NULL;
    filename.Flags = OFN_EXPLORER | OFN_HIDEREADONLY;
    if(!GetOpenFileName(&filename))
        return 0;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si,sizeof(STARTUPINFO));
    ZeroMemory(&pi,sizeof(PROCESS_INFORMATION));
    bool ret = CreateProcess(filename.lpstrFile,"",NULL,NULL,FALSE,DEBUG_PROCESS,NULL,NULL,&si,&pi);
    if(ret == false)
    {
        MessageBox(NULL,"创建进程失败!","",0);
        return -1;
    }

    //Anti-Anti-Debug
    HideDebug(pi);

    DEBUG_EVENT devent;
    int DllCount = 0;
    while(TRUE)
    {
        if(WaitForDebugEvent(&devent,1))
        {
            switch(devent.dwDebugEventCode)
            {
            case CREATE_PROCESS_DEBUG_EVENT:
                printf("CREATE_PROCESS_DEBUG_EVENT/n");
                break;
            case CREATE_THREAD_DEBUG_EVENT:
                printf("CREATE_THREAD_DEBUG_EVENT/n");
                break;
            case EXCEPTION_DEBUG_EVENT:
                //printf("EXCEPTION_DEBUG_EVENT/n");
                 switch(devent.u.Exception.ExceptionRecord.ExceptionCode)
                {
                case EXCEPTION_BREAKPOINT:
                    if(HasINT3)
                    {    
                        SuspendThread(pi.hThread);
                        CONTEXT context;
                        ZeroMemory(&context,sizeof(CONTEXT));
                        context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;
                        GetThreadContext(pi.hThread,&context);
                        printf("Eax:%x/n,Esi:%x/n,Eip:%x/n,Ebp:%x/n",context.Eax,context.Esi,context.Eip,context.Ebp); 
                        if(context.Eip == BreakPoint + 1)
                        {
                            if(!CleanINT3(pi))
                            {
                                printf("清除断点失败!");
                            }

                            printf("Program Stopped At What We Want/n");
                            char key[256];

                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,PAGE_READWRITE, &OldProtect);
                            ReadProcessMemory(pi.hProcess,(LPCVOID)context.Edx,key,sizeof(key),NULL);
                            VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);
                            
                            printf("读出来的东西是 %s/n",key);        
                        }
                        ResumeThread(pi.hThread);
                    }    
                    break;
                case EXCEPTION_SINGLE_STEP:
                    printf("2 EXCEPTION_SINGLE_STEP/n");
                    break;
                case EXCEPTION_ACCESS_VIOLATION:
                    printf("读写地址出错/n");
                    printf("%d,%x/n",devent.u.Exception.ExceptionRecord.ExceptionInformation[0],devent.u.Exception.ExceptionRecord.ExceptionAddress);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);

/*                    char Nop[3];
                    Nop[0] = 0x90;
                    Nop[1] = 0x90;
                    Nop[2] = 0x90;
                    PVOID pathAddress;
                    pathAddress = devent.u.Exception.ExceptionRecord.ExceptionAddress;
                    VirtualProtectEx(pi.hProcess,pathAddress,3,PAGE_READWRITE, &OldProtect);
                    WriteProcessMemory(pi.hProcess,pathAddress,Nop,3,NULL);
                    VirtualProtectEx(pi.hProcess,(LPVOID)BreakPoint,1,OldProtect,&OldProtect);

                    ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_EXCEPTION_NOT_HANDLED);        */        
                    break;
                default:
                    break;
                }
                break;
            case LOAD_DLL_DEBUG_EVENT:
                //获取DLL NAME太复杂,暂时做不到
                DllCount ++;
                printf("%d,Program Loads a Dll From BaseImage:%x,ImageName:%x/n",DllCount,devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                {
                  if(IsUnpacked(pi))
                  {
                      printf("UnPacked Success!!/n");
                      WriteINT3(pi);
                      printf("Write a INT3/n");
                  }
                }
                break;
            case UNLOAD_DLL_DEBUG_EVENT:
                printf("UnLoad a Dll From BaseImage:%x,ImageName:%x/n",devent.u.LoadDll.lpBaseOfDll,devent.u.LoadDll.lpImageName);                
                if(!HasINT3)
                {
                  if(IsUnpacked(pi))
                  {
                      printf("UnPacked Success!!/n");
                      WriteINT3(pi);
                      printf("Write a INT3/n");
                  }
                }
                break;
            case OUTPUT_DEBUG_STRING_EVENT:
                break;
            case EXIT_PROCESS_DEBUG_EVENT:
                printf("调试程序已退出");
                break;
            default:
                printf("%d/n",devent.dwDebugEventCode);
                break;
            }
            ContinueDebugEvent(pi.dwProcessId,pi.dwThreadId,DBG_CONTINUE);
        }
        else
        {
        }
    }
    //KeyMake中不要这两句
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return 0;
}


       目前版本功能:
      1.启动目标程序
      2.向指定位置写入INT3断点
      3.读取/设置指定位置寄存器值
      4.读取/修改指定位置内存值
      5.解压一些压缩和加密壳
      6.一些Anti-Anti-Debug功能
Webpack 自定义 loader 开发:扩展你的构建能力
AI架构全栈开发实战笔记
07-09 363
本文旨在帮助前端开发者理解 Webpack loader 的工作原理,并掌握开发自定义 loader 的技能。我们将覆盖从基础概念到高级应用的完整知识体系,包括 loader 的开发、测试和优化。核心概念与联系:解释 loader 的基本概念和工作原理核心算法与操作步骤:详细讲解 loader 的开发流程项目实战:通过实际案例演示自定义 loader 的开发实际应用场景:展示 loader 在不同场景下的应用工具和资源推荐:提供开发 loader 的实用工具和资源Webpack。
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
热门推荐
努力前行,总会成为自己心中的那道光
02-23 15万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
使用loader.path实现策略模式
f0307yy的博客
10-23 365
在工作中,A、B公司同功能模块可能需求逻辑不同,因在各公司内部部署,需要实现代码隔离,此时我们可以使用loader.path加载jar包的方式。
Java -Dloader.path 介绍
suk_java的博客
08-19 1207
Java -Dloader.path 介绍
DEBUG API写简单的Loader
Red_angelX的专栏
01-14 2775
         一直想做一个类似KeyMaker的Loader,能解壳,能读寄存器,读指定内存值,通宵了一晚上基本搞定         下面是代码:         // MemoryReader.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include "windows.h"#include "Commdlg.h"#include "w
jar包瘦身及-Dloader.path参数指定加载依赖包
宝宝大人的博客
12-18 1万+
jar包瘦身及-Dloader.path参数指定加载依赖包
【模板缓存策略】:最大化利用django.template.loader进行性能优化
[python库文件学习之django.template.loader](https://www.creative-tim.com/blog/content/images/size/w960/2021/06/Django-Template--Black-Dashboard.png) # 1. 模板缓存策略的基础概念 在现代Web应用开发中,...
利用dlib实现人脸识别初体验
漫步者
03-16 1158
前面的文章中介绍了如何编译dlib静态库和动态库,那么下一步就是利用dlib完成一个最简单的识别图片中人脸的程序。下面将测试的环境、代码、遇到的问题、解决方法一一列出,供大家参考,希望能给大家一些帮助。解决方法:LIBS += -L/usr/lib/x86_64-linux-gnu -llapack -lcblas。解决方法:在pro文件中添加 LIBS += -L/usr/local/lib -ldlib。
实时 摔倒识别 /运动分析/打架等异常行为识别/控制手势识别等所有行为识别全家桶 原理 + 代码 + 数据+ 模型 开源!
cv君的博客
03-02 6万+
文章目录一、 基本过程和思想二 、视频理解还有哪些优秀框架三、效果体验~使用手势:python run_gesture_recognition.py健身_跟踪器:卡路里计算三、训练自己数据集步骤然后,打开这个网址:点击一下start new project但是官方的制作方法是有着严重bug的~我们该怎么做呢!原代码解读 大家好,我是cv君,很多大创,比赛,项目,工程,科研,学术的炼丹术士问我上述这些识别,该怎么做,怎么选择框架,今天可以和大家分析一下一些方案: 用单帧目标检测做的话,前后语义相关性很差(也有
classloader java 424_java – SpringBoot loader.path无法加载外部Jar
weixin_39963523的博客
03-03 1025
我正在使用springboot作为webapp,我正在尝试设置一个外部目录,该目录将包含最终用户可能选择使用的各种JDBC驱动程序.要做到这一点,我补充说:loader.path=/opt/myapp/lib/到我的application.properties文件,这是由PropertySourcesPropertyResolver选取的2016-04-28 17:27:38.739 DEBUG ...
springboot项目使用loader.path启动服务时多版本依赖库引起的问题
CXW1014的专栏
02-02 2107
只知道是不同版本导致的问题,但我在build.gradle中明明指定了使用4.1.2版本的poi,为啥使用loader.path 加载的还是5.2.2版本的呢?文件为空,导致依赖库的版本信息缺失, 这样在启动的时候,类加载器碰到多个相同的类名时,按加载器中默认的规则选择其中一个,平时在部署springboot项目时,会发现jar包太大,单是一个项目还没啥影响,但项目多了之后这个问题就比较突出了。仔细对比了下包含依赖库打出的jar包与不含依赖库打出的jar包的区别, 发现没有依赖库的jar包中的。
灰帽子笔记--进程调试基础1:创建调试进程
3D模型素材库
07-28 632
为了对一个进程进行调试,你首先必须用一些方法把调试器和进程连接起来。所以,我们的调试器要不然就是装载一个可执行程序然后运行它,要不然就是动态的附加到一个运行的进程。 第一种方法,其实就是从调试器本身调用这个程序(调试器就是父进程,对被调试进程的控制权限更大)。 在 Windows 上创建一个进程用 CreateProcessA()函数 函数原型: BOOL WINAPI CreateProcessA( LPCSTR lpApplicationName, LPTSTR lpCommandLine, LPSE
公司的这种打包启动方式,我简直惊呆了
BASK2311的博客
11-19 546
大家都知道,SpringBoot应用最终会打出一个Fat Jar, 里面包含了用到的全部依赖,启动也非常简单,即可。但是我们公司打出的最终包,将依赖包挪到了外部,然后启动的时候通过指定依赖包的位置,如的方式启动,也能够启动成功。这样做最大的一个好处就是如果发现某个依赖出现问题,那么我只需要在libs替换其中某个依赖,影响范围可以减小很多。那大家是不是很好奇是怎么做到的呢?
spring jar瘦身,启动不加载loader.path
czqbaifnxkj的博客
10-10 337
loader.path spring boot
给你的SpringBoot工程打的jar包瘦瘦身
弹指天下
05-31 1万+
Spring boot默认方式打包,由于打的是全量依赖包(也称为fat包),不但打包慢,体积大,传输也慢,今天教大家给spring boot瘦瘦身。 背景 现在微服务架构越来越流行,一个项目10多个基于spring boot的服务模块很常见。假设一个服务模块打成jar包是100M,那么一次全量发布可能就需要上传1G的文件。在网络情况好的时候可能还没多大感觉,但如果是代码需要拷贝到内网发布,或者上传到某些国外服务器上, 将严重影响工作效率。 那么,有没有什么办法给我们打的spring boot的jar包瘦.
汇编级别反调试(2)
青月的成长记录吖
03-24 572
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
Win32( 线程控制_CONTEXT结构体)
2301_77816603的博客
12-07 514
终止线程。
《Windows via C/C++》学习笔记(二线程)
flyingleo1981的专栏
11-13 929
每个进程都有一个主线程。每个线程都包含2个部分: 1、一个内核对象,操作用此来管理线程,里面包含了线程的状态; 2、一个线程堆栈,用来维护所有的函数参数和局部变量。     启动线程,需要提供一个线程入口函数,该函数原形必须为如下形式: DWORD WINAPI ThreadFunc(PVOID pvParam) {      DWORD dwRet = 
这是cocos里编写的还是抖音开发者工具中编写
最新发布
06-21
-CocosCreator:运行在Cocos引擎环境中,使用Cocos的API(如cc.loader,cc.Node等),并且可以通过适配层发布到抖音小游戏。2.开发模式:-抖音开发者工具:更接近原生小游戏开发,需要自己管理资源、场景等。-Cocos...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值