SEH反调试的实现与调试

最新推荐文章于 2025-08-04 14:59:36 发布
原创 最新推荐文章于 2025-08-04 14:59:36 发布 · 1w 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方……

代码如下:

void CSehDlg::RegSuc()
{
	HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP);
	::SetWindowText(hWnd, "Success!!");
}

void CSehDlg::RegFail()
{
	HWND hDlgWnd = AfxGetApp()->GetMainWnd()->m_hWnd;
	HWND hWnd = ::GetDlgItem(hDlgWnd, IDC_STC_TIP);
	::SetWindowText(hWnd, "Failed!!");
}

void FirstLevelSeh(char chFlag)

{
	
		__try
		{
			INT a = chFlag;
			int b = a/0;
		}
		//定义异常处理模块
		__except(EXCEPTION_EXECUTE_HANDLER)
		{
			HWND hDlgWnd = AfxGetApp()->GetMainWnd()->m_hWnd;
			HWND hWnd = ::GetDlgItem(hDlgWnd, IDC_STC_TIP);
			::SetWindowText(hWnd, "Success!!");
		}
}

void CSehDlg::OnReg() 
{
	// TODO: Add your control notification handler code here
	CString strName;
	CString strCode;
	GetDlgItemText(IDC_EDT_USERNAME, strName);
	GetDlgItemText(IDC_EDT_USERCODE, strCode);


	TCHAR chFlag = strName.GetAt(strName.GetLength()-1);
	if (chFlag == '0')
	{
		FirstLevelSeh(chFlag);
	}
	else
	{
		RegFail();
	}
}


只有当姓名的最后一位是“0”时,程序会调用0/0,引发一个除0异常,而在异常处理函数中才显示正确的注册码。


在这种情况下,在IDA中,如果姓名最后一位是0的话,程序会是个怎样的图形呢?




如上图所示的,在处理函数中IDA中的显示会有三个不同的函数头……而最右边成功时,是独立出来的。看起来好像在任何情况下都无法到达成功…………


在OD中程序又会是这个样子的……


进入这个有异常处理的函数401542后,是这个样子的……



上面代码中的

xor ecx, ecx

idiv ecx

会触发异常,程序就会跳到函数头时注册的异常处理函数中执行(就是在0040154C处注册的地方)……。


如果我们在调试到这个处理函数时,没有在异常处理函数中下断,在F7走到idiv ecx时,程序就会运行到系统领空,也就是程序跑飞了…………


解决方法:

所以如果要想走到正常的流程中,在这个函数头运行到0040154C的下一行代码是,在它的处理函数(00401c70处)上下断,就能把程序断下……


编译好的程序下载

对于反调试的研究一
03-09
反调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般加壳结合使用,核心还是加壳部分。
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 856
SEH异常机制学习记录
C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)
墨鱼菜鸡
09-19 434
终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以...
反调试专题丨反调试之基于SEH异常
m0_64973256的博客
07-18 366
在如果程序出现异常,如果有调试器,根据优先级,调试器会优先接管异常,从而就会跳过异常处理,如果没有调试器,那么程序就会接收异常。MessageBox(NULL, L"警告", L"一切正常", MB_OK);MessageBox(NULL, L"警告", L"一切正常", MB_OK);MessageBox(NULL, L"警告", L"调试中", MB_OK);MessageBox(NULL, L"警告", L"调试中", MB_OK);printf("被调试了");反调试之基于SEH异常。
软件逆向高级工程
09-08
前言最近随着计算机的发展,软件日益更新,有很多公司发布的产品遭到篡改和破解,在总众多年的历史种逐渐形成了软件保护软件破解之间的对抗产生了软件逆向工程这本门技术将在如下的课程讲解各种软件逆向知识,软件保护知识,已经破解脱壳反调试知识,为初期学软件逆向不懂而又迷茫的同学门指明一条道路此套课堂能有效帮助同学们解决软件逆向中所遇到的大部分问题大纲软件逆向工程高级班分为反调试篇汇编篇算法篇补丁篇HOOK篇将在如上这几篇对软件逆向的各个方面进行详解,包括网络验证的分析思路,封包算法的提取,以及各种软件保护技术,无论哪一篇都会从诸多个方面的细节进行详解反调试篇:分为PEB,时间校验,CRC,NtQuery函数,内核过渡等知识要领诸多方面的综合性详解,细节分为每一节课,每一节课目标清晰无比,每一节深入精髓进行讲解!汇编篇:一个程序编译完成之后是如何通过在计算机运行起来的,其中少不了底层知识的汇编指令,汇编篇中将深入浅出的带领同学们对MASM32SDK的一套汇编库中开发程序,熟悉汇编的原理,如何运用汇编写出一套花指令,并且去除指令,方便以后的算法学习以及为今后的学习打下坚实的基础算法篇:随着编程语言的发展,编程语言的标准也在发展,一些编译器善于运用数学的手法,对程序进行各种优化,然后我们进行分析,我们得需要一步步还原这个优化或清晰了解这个优化才有可能掌握这个数学模型优化,进一步还原代码,算法篇知识要领将在优化,技巧这方面表现的玲离尽致!此篇会带领同学们分析多个语言的算法,包括C/C++算法还原代码还原易语言代码还原 算分开库的实现,制作自己的第一个注册机等!补丁篇:说到补丁,同学们可能第一个想到的就是对方一些网络验证所用到的技巧,我的课程这一方面虽有涉及,但是补丁技术远远不止这一点,我的课程会详解更多的补丁知识原理,包括什么是补丁,补丁的真正概念,前辈们是如何善用补丁对程序的漏洞进行修补损坏的程序。将在此篇一一介绍HOOK篇:详细详解了各种HOOK的原理以及实现代码,包括网上流行所说的超级HOOK,COMHOOK,协议HOOK,代理中转等方法,怎么定位关键位置,环境的保存知识要领,hook关键的注意事项,为自己以后做hook行业打下坚实的基础课程每一个细节讲究的深入骨髓,通俗易懂的学习方式,全程贯彻原理,软件逆向中必不可少少的教程!
反调试—利用SEH链表
王二娃的生活的博客
08-03 2897
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
Win32汇编学习笔记09.SEH反调试
彭于晏长沙分晏
01-09 766
跟筛选一样都是用来处理异常的,但不同的是 筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的 就是 函数自己 来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器。可以看到 偏移为0 的位置 是一个异常链 表, , 记录的是一个结构体指针。
动态反调试技术
寻梦&之璐
01-27 2681
异常 SEH Windows操作系统中的一些典型异常 EXCEPTION_DATATYPE_MISALIGNMENT (0x80000002) EXCEPTION_BREAKPOINT (0x80000003) EXCEPTION_SINGLE_STEP (0x80000004) EXCEPTION_ACCESS_VIOLATION (0xC0000005) EXCEPTION_IN_PACE_ERROR (0xC0000006) EXCEPTIO
SEH及逆向调试
Starr
10-10 3432
SEH 文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...
SEH
qq_39249347的博客
09-04 1132
SEH是Windows操作系统的异常处理基址,在程序源代码中使用__try、__except、__finally关键字来具体实现SEH练习示例 #1 示例程序seh.exe,该程序故意触发了内存非法访问异常,然后通过SEH机制来处理该异常,并且使用PEB信息向程序添加简单的反调试代码,使程序在正常运行调试运行时表现出不同的行为动作。 正常运行。 使用OllyDbg调试器打开seh.exe示例程序。 打开seh.exe程序后按F9键运行,发生非法访问异常后暂停调试。 401019地址处添.
【逆向工程核心原理:SEH
whl0071的专栏
06-27 723
【逆向工程核心原理:SEH
(笔记)反调试总结
qq_30101409的博客
08-19 537
整理总结一下恶意代码中的反调试技术,方便后续学习 目录概要静态反调试技术1. PEB反调试技术中使用到的成员:访问PEB的方法动态反调试技术反调试工具 概要 反调试技术对调试操作系统有很强的依赖性。 包括了静态反调试技术和动态反调试技术。前者通常只需要破解一次反调试技术,后者则需要边调试边破解,跟踪分析程序代码和数据。下表展示了两者的区别。 在调试器跟踪被调试进程时,相互往来大量调试事件。动态反调试技术利用这些事件调试器的工作原理来实现反调试。 静态反调试技术 主要检测自身是否处于被调试状态.
软件反调试(8)- 基于SEH异常的检测
最新发布
胡焦24的技术博客
08-04 970
在 vs2022 中,如果勾选了除零异常(在 “调试” -> “窗口” -> “异常设置” 中),调试的时候就会中断在异常位置,F5 会继续执行,调试器并不会处理该异常。断点中断的时候,0xcc 恢复为原来的指令,中断运行过后,又被恢复为 0xcc,断点的指令情况可以从下面两个图来了解。软件断点的本质是,在进行调试时候下的断点,断点指令的第一个字节被替换成为了 0xcc,也就是汇编。目标程序在被调试时,程序触发的异常会被调试器优先处理,而不是程序的 SEH 来处理。的提示信息,符合预期的反调试
反调试——Windows异常-SEH
nidongla的博客
05-05 476
反调试——Windows异常-SEH京东优惠券 https://m.fenfaw.net/ 概念: SEH:Structured Exception Handling SEH是Windows默认的异常处理机制 如何使用 在代码中使用 __try​​__except()//结构类型的语句 __except()小括号里面填写表达式,表达式为真的时候执行里面的内容 __try里面包含的是可能触发异常的语句,except里面包含的是出现了异常后执行的操作。 __except()括号中表达式的取值范围:.
-异常处理-
weixin_52369224的博客
03-03 819
简介: 异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常 来自《加密解密》 SEH: SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。 TEB/T: typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表 PVOID StackBase;
【第44节】windows程序的反调试反调试
攻城狮7号的博客
04-15 5534
反调试反调试相对的概念,是针对软件中反调试技术所采取的应对措施,目的是绕过或破解软件里的反调试机制,从而顺利地对软件进行调试和逆向分析。反调试反调试对比- 反调试:是软件开发者为了保护软件的代码逻辑、知识产权、防止软件被破解、篡改或逆向分析而采用的一系列技术手段。例如检测调试器的存在、修改程序运行环境以干扰调试过程等。- 反反调试:则是逆向分析人员为了突破这些反调试手段,继续对软件进行深入分析而采取的技术和方法。常见反反调试方法。
汇编
bosswanghai的博客
12-24 4839
汇编
常见动态反调试技术总结
lonmar的博客
06-27 3025
软件安全|反调试技术|动态反调试技术总结
寄存器和函数调用栈介绍
qq_37070988的博客
09-12 4418
首先,什么是栈帧?引用百度百科:C语言中,每个栈帧对应着一个未运行完的函数。栈帧中保存了该函数的返回地址和局部变量。栈帧是一块因函数运行而临时开辟的空间。每调用一次函数便会创建一个独立栈帧。栈帧中存放的是函数中的必要信息,如局部变量、函数传参、返回值等。当函数运行完毕栈帧将会销毁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值