开篇提示:笔者水平一般文章内容也比较浅显,如有错误欢迎指出。
Crc反调试原理很简单,简单来说就是开启一个线程,在这个线程中不断地对内存中代码段的数据进行校验,如果校验时值发生了改变直接调用退出之类的函数关闭程序。
如何干掉crc校验?
说到硬件中断必须提一下什么是硬件中断,如od里面的f2那个其实是int3断点也叫cc断点(INT3指令的机器码为CC),这是一种软件断点很容易被检测到,而硬件断点使用cpu调试寄存器dr0-dr7,Dr0-dr3用来保存断点地址,Dr7是调试控制寄存器。
相关函数
PVOID AddVectoredExceptionHandler(ULONG First,PVECTORED_EXCEPTION_HANDLER Handler);
注册一个异常处理
DWORD SuspendThread(HANDLE hThread);
挂起一个线程
DWORD ResumeThread(HANDLE hThread);
恢复一个线程
BOOL GetThreadContext(HANDLE hThread,LPCONTEXT lpContext);
检索线程上下文
BOOL SetThreadContext(HANDLE hThread,const CONTEXT *lpContext);
设置线程上下文
其中msdn上写了这么一条 win10需要另起一个线程把主线程挂起才能生效
该函数根据上下文结构的ContextFlags成员的值设置线程上下文。通常,正在调试hThread参数标识的线程,但是即使未调试线程,该函数也可以运行。
不要尝试为正在运行的线程设置上下文;结果是不可预测的。在调用SetThreadContext之前,请使用 SuspendThread函数挂起线程
上代码
但是如果把G0设置成1并不会断下来,我也不知道为什么,有懂的请务必告诉我。这里我把L0设置成1。
这是关键点,如果不干掉crc线程直接f2下断程序会直接退出。此时把dll放到程序目录重新加载一次,可以看到调试寄存器里面被设置成了我设置的值。401053的指令长度是6,这也就是我为什么把代码里eip+6的原因。
当程序运行到这个地址会触发异常,这个异常会被我们写的异常处理函数处理。由于直接控制eip寄存器,所以不用修改程序代码就可以过掉crc,并且这个程序加了壳,不能直接修改程序,用硬件断点的方法就可以很好的处理这种情况。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论