Win32汇编学习笔记09.SEH和反调试-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net
SEH - structed exception handler 结构化异常处理
跟筛选一样都是用来处理异常的,但不同的是 筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的 就是 函数自己 来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器
因此要使用SHE只需要做2件事,1是自己实现异常回调函数,2是吧异常回调函数注册给系统
把函数注册给系统的方式就是 把函数地址 存到 fs:[0] 就可以了
可以看到 偏移为0 的位置 是一个异常链 表, , 记录的是一个结构体指针
因此我们需要构造一个结构体 , 把 函数地址 放到 Handler
回调函数声明在 msdn 是没有定义,这是微软没有文档化的函数,但是在微软 C 库的 实现用了,可以直接到里面去搜
参数: 第一个 异常记录 (异常信息) 第二个 不用管 第3个环境记录 (寄存器环境) 第4个也可以不用管
第2个和第4个是给嵌套异常和展开异常用的
声明
第3个和第四个也是给 嵌套异常 和展开异常用的
.586
.model flat,stdcall
option casemap:noneinclude windows.incinclude user32.incinclude kernel32.incincludelib user32.libincludelib kernel32.lib;构造结构体 异常回调函数结构体
EXCEPTION_REGISTRATION_RECORD strucNext dd 0 ;调用这异常回调函数函数结构体指针Handler dd 0 ;当前异常回调函数地址
EXCEPTION_REGISTRATION_RECORD ends.datag_szF0 db "F0",0g_szF1 db "F1",0.codeassume fs:nothing ;对fs的类型进行强转;处理 F1 异常的回调函数
F1Handler proc uses esi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dwordinvoke MessageBox, NULL, offset g_szF1, NULL, MB_OK;ExceptionContinueExecution, - 程序继续执行;ExceptionContinueSearch, - 此异常我不处理,交给其它处理;异常交给F0 的 异常回调函数处理mov eax, ExceptionContinueSearch ;返回异常处理方式 不然会直接退出ret
F1Handler endp ;产生异常函数 F1
F1 procLOCAL @err:EXCEPTION_REGISTRATION_RECORDLOCAL @dwOldSeh:dword ;原先的过程函数地址;保存调用者的异常回调函数mov eax, fs:[0]mov @dwOldSeh, eax ;保存调用者回调函数地址 到 next,不然无法找到调用者异常函数处理的地址mov eax, fs:[0]mov @err.Next, eax ;注册异常回调mov @err.Handler, offset F1Handlerlea eax, @errmov fs:[0], eax;产生异常xor esi, esidiv esi;卸载SEH 还原过程函数(不然 F0 产生的异常会又回来)mov eax, @dwOldSehmov fs:[0], eaxret
F1 endp ;处理 F0 异常的回调函数
F0Handler proc pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dwordinvoke MessageBox, NULL, offset g_szF0, NULL, MB_OK;处理 F1 产生的除0异常 assume esi:ptr EXCEPTION_RECORD ;类型强转mov esi, pER ;将 异常信息 pER 给 esi .if [esi].ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO ;如果是除0异常;处理,跳过产生异常的代码mov esi, pContextassume esi:ptr CONTEXTadd [esi].regEip, 2 ;除0指令是2个字节 regEip 是返回的地址assume esi:nothingmov eax, ExceptionContinueExecution ;返回异常处理方式 不然会直接退出ret.endifassume esi:nothingret
F0Handler endp;产生异常函数 F0
F0 procLOCAL @err:EXCEPTION_REGISTRATION_RECORDLOCAL @dwOldSeh:dword;保存调用者的异常回调函数mov eax, fs:[0]mov @dwOldSeh, eax;保存调用者回调函数地址 到 next,不然无法找到调用者异常函数处理的地址mov eax, fs:[0]mov @err.Next, eax;注册异常mov @err.Handler, offset F0Handler ;存入异常回调函数地址lea eax, @errmov fs:[0], eaxinvoke F1;产生异常mov eax, 1211hmov [eax], eax;卸载SEHmov eax, @dwOldSehmov fs:[0], eaxret
F0 endpstart:invoke F0xor eax, eaxinvoke ExitProcess,eax
end start
异常链 : SEH链 尾结点是系统默认的异常函数处理地址
但是我们一般不会像上面写
因为结构体是2成员, 一个是调用者的异常回调函数信息结构体地址 , 一个是自己的异常回调函数地址,都是 4字节
那么我们只需要在栈上 push 2个 dword(2个地址指针) ,就可以了
.586
.model flat,stdcall
option casemap:noneinclude windows.incinclude user32.incinclude kernel32.incincludelib user32.libincludelib kernel32.lib.datag_szF0 db "F0",0g_szF1 db "F1",0.codeassume fs:nothingF1Handler proc uses esi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dwordinvoke MessageBox, NULL, offset g_szF1, NULL, MB_OK;ExceptionContinueExecution, - 程序继续执行;ExceptionContinueSearch, - 此异常我不处理,交给其它处理mov eax, ExceptionContinueSearchret
F1Handler endp F1 proc;注册SEHpush offset F1Handler ; handler push 自己异常回调函数的地址push fs:[0] ;next ;push 调用者异常处理结构体信息地址mov fs:[0], esp ;注册回调函数,移位此时esp 存的就是结构体首地址xor esi, esidiv esi;卸载SEHpop fs:[0] ;把 next 弹回 fs:[0] add esp, 4 ;平栈,因为自己的异常回调函数地址不需要弹栈,直接丢弃ret
F1 endp F0Handler proc pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dwordinvoke MessageBox, NULL, offset g_szF0, NULL, MB_OKassume esi:ptr EXCEPTION_RECORDmov esi, pER.if [esi].ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO;处理,跳过产生异常的代码mov esi, pContextassume esi:ptr CONTEXTadd [esi].regEip, 2assume esi:nothingmov eax, ExceptionContinueExecutionret.endifassume esi:nothingret
F0Handler endpF0 proc;注册异常; | next | <--esp; | Fohandler | push offset F0Handler ;handler ;push 自己异常回调函数的地址push fs:[0] ;next ;push 调用者异常处理结构体信息地址mov fs:[0], esp ;注册回调函数,移位此时esp 存的就是结构体首地址invoke F1;产生异常mov eax, 1211hmov [eax], eax;卸载SEH pop fs:[0] ;把 next 弹回 fs:[0] add esp, 4 ;平栈,因为自己的异常回调函数地址不需要弹栈,直接丢弃ret
F0 endpstart:invoke F0xor eax, eaxinvoke ExitProcess,eax
end start反调试
一切阻止调试的方法都被称为反调试
在 OD 或者 x32Dbg 中下断点时,他会插入一行代码,但在调试器中看不出来的 那就是把这一行指令在内存的第一个字节改成了 CC (int 3)
当 TF 被置位 为 1 时 ,执行一行代码 就会 抛出异常,抛出异常之后就会恢复为 0,因此可以不断通过 改变 TF 位,来判断每一行代码,判断是否被下断点
.586
.model flat,stdcall
option casemap:noneinclude windows.incinclude user32.incinclude kernel32.incincludelib user32.libincludelib kernel32.lib.datag_szCaption db "友情提示",0g_szText db "你干嘛调试我?",0g_szText2 db "结束了", 0g_ddEnd dd 0 ;函数结束地址.codeassume fs:nothingFuncTest proc;存储mov g_ddEnd, offset ENDTF ;保存函数结束位置;设置TF标志位 (将值置为1 就会抛异常)pushfdor dword ptr [esp], 100hpopfdxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxxor eax, eaxENDTF:retFuncTest endp;异常回调函数,将 TF 置位
F0Handler proc uses esi edi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dwordassume esi:ptr EXCEPTION_RECORDmov esi, pERmov edi, pContextassume edi:ptr CONTEXT;判断mov eax, [edi].regEip.if byte ptr [eax] == 0cch ;指令的第一个字节是CC 说明被调试;被设置断点了invoke MessageBox, NULL, offset g_szText, offset g_szCaption, MB_OKinvoke ExitProcess, 0 ;退出进程.endif;结束mov eax, g_ddEnd.if [edi].regEip == eax ;程序结束, TF就不需要置位了mov eax, ExceptionContinueExecutionret.endif;继续设置TF标志位or [edi].regFlag, 100hmov eax, ExceptionContinueExecutionassume edi:nothingassume esi:nothingret
F0Handler endpF0 proc;注册异常; | next | <--esp; | Fohandler | push offset F0Handler ;handlerpush fs:[0] ;nextmov fs:[0], espinvoke FuncTest;卸载SEHpop fs:[0]add esp, 4ret
F0 endpstart:invoke F0invoke MessageBox, NULL , offset g_szText2, NULL, MB_OKxor eax, eaxinvoke ExitProcess,eax
end start
对于部分调试器,他会接收所有异常,这种处理方式就是 把 主要代码放在异常中实现
异常很多时候都被用作反调试
对抗反调试的方法:
把代码分成多块,每块做加密,执行每块代码之前 先进异常还原,还原之后再进异常变成加密状态,因为不解密前面的代码,无法知道后面的代码去哪
处理方法:代码追踪,把执行的每一行代码记录下来
把代码放到堆里面,在堆里面执行完再回到代码区,这样代码追踪就失效了,因为重启地址就变了
![[Java] 计算Java对象大小](https://blog-static.cnblogs.com/files/johnnyzen/cnblogs-qq-group-qrcode.gif?t=1679679148)
