通过硬件断点对抗hook检测

最新推荐文章于 2026-06-10 11:06:19 发布
原创 最新推荐文章于 2026-06-10 11:06:19 发布 · 2.8k 阅读 · 11
标签
#web安全 #windows #系统安全 #安全
本文探讨了如何通过硬件断点来对抗hook检测。介绍了硬件断点的工作原理,包括Dr0-Dr7寄存器的作用,以及设置硬件断点的流程。通过设置线程异常处理函数,修改调试寄存器触发断点,从而实现规避检测的目标。实验结果显示,该方法能够成功绕过CRC检测,实现DLL注入而不被拦截。

前言

我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。

hook测试

这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对MessageBoxA的hook,如果检测到了hook,则调用ExitProcess直接退出程序

在这里插入图片描述

如下所示,这里我们的目的就是通过Inline hook来修改文本框中的内容

在这里插入图片描述

这里使用常规方式修改5个字节的硬编码,通过E9跳转到我们自己的函数进行修改,这里将代码打包成dll

在这里插入图片描述

通过远程线程注入,这里显示是注入成功了,但是会被我们的检测函数拦截,这里可以看到拦截的是E9这个硬编码

在这里插入图片描述

然后我们这里对我们的程序的E9指令进行替换,修改为先用call短跳到没有被监控的区域,然后再跳到我们自己的函数

然而这里还是被拦截,这里显示的是被CRC检测拦截了

在这里插入图片描述

我们知道Inline hook无论是通过E8还是E9跳转,肯定是要修改内存的,那么如果程序有CRC检测,那么我们这种使用汇编跳到自己的处理函数的方法是怎么都行不通的。这里就不能使用常规的方法去规避hook,而是通过CPU的dr0-dr7寄存器去触发异常,通过异常处理函数来修改文本框的值,这里我们首先需要了解的是硬件断点

硬件断点

简单说一下软件断点和内存断点,软件断点就是我们通常在OD里面通过F2下的断点,它的原理是将我们想要断点的一个硬编码修改为cc,内存断点就是通过VirtualProtect函数来修改PTE的属性来触发异常

最低0.47元/天 解锁文章
红队蓝军
关注
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
HookDefend:iOS逆向之反HOOK的基本防护
05-16
HookDefend iOS逆向之反HOOK的基本防护 学习完上面的文章后,深感之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工程:基本防护,写个简单的页面 代码如下: 2、需求:在外部hook btnClick2,在内部hook btnClick1,需要保证的是在外部hook btnClick2无效,在内部hook btnClick1生效。 3、拖入fishhook代码,新建hookMgr类 //专门HOOK +(void)load{ //内部用到的交换代码 Method old = class_getInstanceMethod(objc_getClass("ViewController"), @
二、C++反作弊对抗实战 (进阶篇 —— 9.利用硬件断点 + 结构化异常 SEH HOOK)
Koma的主页
03-04 1513
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个
Windows逆向实战:用硬件断点实现无痕Hook,彻底绕过CRC32校验
weixin_26841743的博客
04-22 312
本文深入解析了Windows逆向工程中利用硬件断点实现无痕Hook的技术,有效绕过CRC32等内存校验机制。通过x86/x64架构的调试寄存器(Dr0-Dr7),开发者可以在不修改目标进程指令字节的情况下实现API拦截,规避传统Hook技术的检测风险。文章详细介绍了调试寄存器的精密控制、异常处理框架搭建及实战案例,为软件安全领域提供了高级对抗方案。
7. SEH + 硬件断点HOOK
My classmates
11-04 2607
DLL #include<windows.h> #include <TlHelp32.h> #include <stdio.h> #include <limits.h> typedef HANDLE(WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); OPENTHR...
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 4984
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
Windows系统编程】08.异常处理与异常Hook(软件断点Hook硬件断点Hook
WdIg-2023的博客
08-19 1173
异常处理,断点寄存器讲解,软件断点Hook硬件断点Hook
无痕HOOK 检测对抗
2503_90751938的博客
08-29 890
无痕HOOK检测,没看到有人写,那我就抛砖引玉,写几个思路大家也知道,攻防这个东西就是打个信息差,这些东西一旦被发出来..也就没啥用了,就让我来当这个恶人吧,哈哈哈下面我将详解若干检测,并附上对抗思路无痕hook:基于硬件虚拟化VT-x或者AMD-v的扩展页表(EPT或NPT)功能使读写和执行访问分离进行inline hook操作,表现为执行指令与读取指令不一致(应用层驱动层hook并无区别,以下的思路不做此区分,代码在最后)首先了解几个概念:单步,分支单步, 硬断,页面重映射,接管IDT,接管CR3,指
Windows游戏安全逆向:用VEH和硬件断点实现无痕Hook的完整C++代码解析
weixin_30439067的博客
05-08 657
本文深入解析了Windows游戏安全逆向中基于VEH(Vectored Exception Handling)和硬件断点的无痕Hook技术,通过完整的C++代码实现展示如何在不修改内存指令的情况下实现精准拦截。文章详细介绍了VEH与硬件断点的技术原理、核心代码实现及实战技巧,帮助开发者掌握这一高效且隐蔽的Hook方法,适用于游戏安全与逆向工程领域。
Android内核无痕Hook理解和感悟
2503_90751789的博客
04-16 506
Hi,大家好,我是珍惜,这篇文章主要是我自己近年来在攻防对抗中,对 Hook 检测与反检测的一些理解和心得。随着各路安全SDK和反作弊引擎的不断进化,传统的 Hook 手段早已千疮百孔。内存 CRC 校验:扫描.text代码段,一旦发现机器码被修改(如 Inline Hook 替换了 B / LDR 指令),直接被检测。可执行内存扫描:扫描,寻找 App 进程中多出来的、非正常的r-x或rwx内存段...函数调用栈检测 (Stack Walking)
微信/企微HOOK开发避坑指南:从OD分析到稳定接口的五个关键步骤
最新发布
weixin_31648507的博客
06-10 292
本文深入解析微信/企微HOOK开发的全流程,从逆向工程到稳定接口的实现,涵盖环境搭建、关键功能定位、HOOK技术、协议设计及安全防护等五个关键步骤。特别强调使用开源代码和现代工具链提升开发效率,为开发者提供一套实战验证的方法论。
代码实战硬件断点hook
01-18 1436
代码实战硬件断点hook
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 4388
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hook:VT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
Windows软件调试学习笔记(五)—— 软件断点&内存断点
lzyddf的博客
08-05 2470
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
DbgkForwardException
weixin_43751677的博客
11-29 239
【代码】BOOLEAN DbgkForwardException( IN PEXCEPTION_RECORD64 ExceptionRecord, IN BOOLEAN DebugException,
过保护 DebugPort 清零相关
weixin_33790053的博客
04-19 381
一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.DebugPort。DebugPort对于ring3调试器来说非常重要,没有它正常的ring3调试是无法进行的。当然要检测这个标志的前提是程序能够读取ring0内存,在XP以上的系统有个非常简单的方法...
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7999
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
WIN10使用VEH+硬件断点实现不修改代码完成破解
hambaga的博客
09-01 4988
为什么要使用硬件断点? 有些程序会启动一个线程,实时检测代码节是否被修改,这样可以防止作弊者使用OD调试程序时下CC断点,这种技术叫全代码检测或CRC检测。为了绕过这种检测,大佬们想出了很多办法: 干掉CRC线程 干掉CRC函数的判断 绕过CRC检测的位置,到更底层去修改 硬件HOOK 其他HOOK,欺骗CRC检测函数(虚表HOOK) 干掉退出函数(ExitProcess) 本文介绍的是硬件断点硬件HOOK)。 硬件断点原理 当执行到某个指令,DR0寄存器中存储了这条指令的地址,就会触发异常。如果使用
中断和异常
u012138730的专栏
05-10 3511
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值