不久前寫的一個小例子
利用硬件斷點異常的鉤子方式
截獲到異常后,轉到異常處理程序中處理
流程(1) (2) (3)代表執行步驟
code:---------------------------------------------
#include <windows.h>
//消息輸出
void WINAPI MsgXXX(DWORD id)
{
char szid[100];
wsprintf(szid,"錯誤碼:%08Xh",id);
::MessageBox(NULL,szid,"XXX",0);
}
int main()
{
__asm
{
?? push offset perThread_Handler //異常處理程序入口???????? (1)
?? push fs:[0]
?? mov fs:[0],esp //修改異常處理
?? xor eax,eax
?? mov eax,[eax] //這里故意制造一個內存違規異常 讀0?? 異常碼 0xC0000005?????? (2)
?? mov eax,eax?? //寫幾條無用指令留點空隙 便于調試
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
//異常處理程序
perThread_Handler:
?? push ebp?????????????????????????????? (3)從2出現了內存異常 直接轉到異常處理程序?? & (10)下面的硬件異常同樣會到這里
?? mov ebp,esp
?? push ecx
?? mov ecx,dword ptr[ebp+08h] //獲取錯誤碼指針
?? mov ecx,dword ptr[ecx]?? //獲取錯誤碼
?? cmp ecx,0C0000005h??? //比較是否為制造的內存錯誤
?? je memError????????????????????????????????????????????????????????????????? (4)確定為內存異常 跳到memError
?? cmp ecx,080000004h??? //比較是否為硬件斷點
?? je memDRx
?? mov eax,1????? //都不是 那就是程序自身異常 交由程序自身異常處理程序處理
?? jmp End
??
//如果是制造的那個內存錯誤
memError:????????????????????????????????????? (5)從4跳到了這里 這里設置硬件斷點
?? push ecx
?? call MsgXXX
?? mov eax,dword ptr [ebp+10h] //獲取線程寄存器結構
?? mov ecx,offset xxooxx?? //模擬一個硬件斷點地址?????
?? mov dword ptr [eax+04h],ecx //把斷點地址放入到DR0
?? mov ecx,101h???? //DR7參數
?? mov dword ptr [eax+18h],ecx //把參數放到DR7
?? mov ecx,offset NewAddr?? //異常處理程序結束后要返回的地址
?? mov dword ptr [eax+0B8h],ecx//這里把EIP修改成新地址
?? mov eax,0????? //返回0 表示異常處理程序處理完后繼續處理
?? jmp End???????????? (6)
//硬件斷點異常
memDRx:
?? push ecx
?? call MsgXXX
?? mov eax,dword ptr [ebp+10h] //獲取結構
?? mov ecx,offset NewAddr?? //設置新地址
?? mov dword ptr [eax+0B8h],ecx//修改EIP
?? mov eax,0
?? jmp End
End:
?? pop ecx?????? (7)這里ret后 會到NewAddr 地址處 因為設置了新EIP是這里
?? pop ebp
?? ret
//新地址 設置完異常后到這里
NewAddr:???????? (8) 這里繼續執行
?? mov eax,eax
?? push 1
?? call MsgXXX
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
?? mov eax,eax
//硬件異常模擬地址 到這里會出現硬件單步異常
xxooxx:???????????? (9)到這里 會觸發硬件斷點異常 會跳回到 異常處理程序
?? mov ebx,ebx
?? mov ebx,ebx
?? mov ebx,ebx
?? mov ebx,ebx
?? mov ebx,ebx
?? mov ebx,ebx???? (.?)所以永遠到不了這里
?? mov ebx,ebx
?? mov ebx,ebx
?? mov ebx,ebx
}
return 0;
}
看上去邏輯很亂 但是調試一下就真相大白了
同樣可以做很猥瑣的事