标 题: 【原创】VEH-硬件断点+dll劫持内存补丁
作 者: 我是小三
时 间: 2013-06-26,08:28:34
链 接: http://bbs.pediy.com/showthread.php?t=174263

学习加密三内存补丁一节时做的。高手莫要见笑. 下面是用了加密三中的CrackMeNet.exe做的示范.

代码:

//设置硬件断点函数
void SetHwBreakpoint()
{


//添加VEH  参数1=1表示插入Veh链的头部,=0表示插入到VEH链的尾部
AddVectoredExceptionHandler(1, VectoredHandler);

//寄存器相关的结构体
CONTEXT _ConText = {CONTEXT_DEBUG_REGISTERS};

//得到当前线程
HANDLE hThread = GetCurrentThread();


// 得到指定线程的环境(上下文)
GetThreadContext(hThread, &_ConText);


//给调试寄存器值
if (0X0 == _ConText.Dr0 && 0X0 == _ConText.Dr1 && 0X0 == _ConText.Dr2)
{
_ConText.Dr0 = 0X00401489;
_ConText.Dr1 = 0X0;
_ConText.Dr2 = 0X0;
_ConText.Dr3 = 0x0;

_ConText.Dr7 = 0x405;


// 设置线程的环境(上下文)
SetThreadContext(hThread, &_ConText);
}


if (0X0 != _ConText.Dr0 || 0X0 != _ConText.Dr1 || 0X0 != _ConText.Dr2 || 0X0 != _ConText.Dr3)
{
MessageBox(NULL,"设置硬件断点成功..", "(^_^)", MB_OK);
}
else
{
MessageBox(NULL,"设置失败,", "提示", MB_OK);
}

}

代码:

// VEH回调函数
LONG WINAPI VectoredHandler(
PEXCEPTION_POINTERS ExceptionInfo
)
{


//判断是否为我们设置的异常地址
if(ExceptionInfo->ExceptionRecord->ExceptionAddress == (PVOID)0X00401489)
{
MessageBox(NULL, "成功触发异常", "(^_^)", MB_ICONINFORMATION);

// 修改当前异常中断的EIP
ExceptionInfo->ContextRecord->Eip = 0x00401721;//指向要执行代码的内存地址

// 处理异常.
return EXCEPTION_CONTINUE_EXECUTION;
}

return EXCEPTION_CONTINUE_SEARCH;
}

代码:

ALCDECL MemCode_connect(void)
{

SetHwBreakpoint();//调用设置硬件断点

GetAddress("connect");
__asm JMP EAX;
}

代码:

00401474  |.  6A 10         push 10                                  ; /AddrLen = 10 (16.)
00401476  |.  8D85 B0FDFFFF lea eax,[local.148]                      ; |
0040147C  |.  50            push eax                                 ; |pSockAddr
0040147D  |.  8B8D 00FEFFFF mov ecx,[local.128]                      ; |
00401483  |.  51            push ecx                                 ; |Socket
00401484  |.  E8 43050000   call <jmp.&WS2_32.#4>                    ; \connect
00401489  |.  8985 04FEFFFF mov [local.127],eax                      ;  --设置异常地址
0040148F  |.  83BD 04FEFFFF>cmp [local.127],-1

代码:

00401721  |.  8BF4          mov esi,esp                              ;  ---异常发生后直接跳到这里执行.
00401723  |.  6A 00         push 0                                   ; /Style = MB_OK|MB_APPLMODAL
00401725  |.  68 887A4100   push CrackMeN.00417A88                   ; |Title = "Crackne net-2"
0040172A  |.  68 987A4100   push CrackMeN.00417A98                   ; |Text = "Registration successful !"
0040172F  |.  8B15 90B14100 mov edx,dword ptr ds:[41B190]            ; |
00401735  |.  52            push edx                                 ; |hOwner => 001D016C ('Pediy - Crackme (net) 20061204',class='myWindowClass')
00401736  |.  FF15 D0D34100 call dword ptr ds:[<&USER32.MessageBoxA>>; \MessageBoxA

 

名称:  3.jpg
查看次数: 3
文件大小:  16.7 KB
bin.rar.
vs2008_src.rar.

 

 

在08年初有想过剑走偏锋,利用类似debug api的方法来规避部分游戏检测机制,事实证明和之后的一些人想到一块去了。

留言

请输入验证码 * 请输入正确的验证码