Win32汇编学习笔记09.SEH和反调试

Win32汇编学习笔记09.SEH和反调试-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net

SEH - structed exception handler 结构化异常处理

跟筛选一样都是用来处理异常的,但不同的是筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的就是函数自己来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器

因此要使用SHE只需要做2件事,1是自己实现异常回调函数,2是吧异常回调函数注册给系统

把函数注册给系统的方式就是把函数地址存到 fs:[0] 就可以了

可以看到偏移为0 的位置是一个异常链表, , 记录的是一个结构体指针

因此我们需要构造一个结构体 , 把函数地址放到 Handler

回调函数声明在 msdn 是没有定义,这是微软没有文档化的函数,但是在微软 C 库的实现用了,可以直接到里面去搜

参数: 第一个异常记录 (异常信息) 第二个不用管第3个环境记录 (寄存器环境) 第4个也可以不用管

第2个和第4个是给嵌套异常和展开异常用的

声明

第3个和第四个也是给嵌套异常和展开异常用的

.586

.model flat,stdcall

option casemap:none

   include windows.inc

   include user32.inc

   include kernel32.inc

   includelib user32.lib

   includelib kernel32.lib

;构造结构体 异常回调函数结构体

EXCEPTION_REGISTRATION_RECORD struc

    Next dd 0           ;调用这异常回调函数函数结构体指针

    Handler dd 0        ;当前异常回调函数地址

EXCEPTION_REGISTRATION_RECORD ends

.data

   g_szF0 db "F0",0

   g_szF1  db "F1",0

.code

    assume fs:nothing   ;对fs的类型进行强转

;处理 F1 异常的回调函数

F1Handler proc uses esi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dword

    invoke MessageBox, NULL, offset g_szF1, NULL, MB_OK

    ;ExceptionContinueExecution, - 程序继续执行

    ;ExceptionContinueSearch,    - 此异常我不处理，交给其它处理

    ;异常交给F0 的 异常回调函数处理

    mov eax, ExceptionContinueSearch     ;返回异常处理方式 不然会直接退出

    ret

F1Handler endp  

;产生异常函数  F1

F1 proc

    LOCAL @err:EXCEPTION_REGISTRATION_RECORD

    LOCAL @dwOldSeh:dword    ;原先的过程函数地址

    ;保存调用者的异常回调函数

    mov eax, fs:[0]

    mov @dwOldSeh, eax  

    ;保存调用者回调函数地址 到 next,不然无法找到调用者异常函数处理的地址

    mov eax, fs:[0]

    mov @err.Next, eax   

    ;注册异常回调

    mov @err.Handler, offset F1Handler

    lea eax, @err

    mov fs:[0], eax

    ;产生异常

    xor esi, esi

    div esi

    ;卸载SEH   还原过程函数(不然 F0 产生的异常会又回来)

    mov eax, @dwOldSeh

    mov fs:[0], eax

    ret

F1 endp  

;处理 F0 异常的回调函数

F0Handler proc pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dword

    invoke MessageBox, NULL, offset g_szF0, NULL, MB_OK

    ;处理 F1 产生的除0异常

    assume esi:ptr EXCEPTION_RECORD   ;类型强转

    mov esi, pER      ;将 异常信息 pER 给  esi  

    .if [esi].ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO   ;如果是除0异常

        ;处理，跳过产生异常的代码

        mov esi, pContext

        assume esi:ptr CONTEXT

        add [esi].regEip, 2    ;除0指令是2个字节   regEip 是返回的地址

        assume esi:nothing

        mov eax, ExceptionContinueExecution   ;返回异常处理方式 不然会直接退出

        ret

    .endif

    assume esi:nothing

    ret

F0Handler endp

;产生异常函数  F0

F0 proc

    LOCAL @err:EXCEPTION_REGISTRATION_RECORD

    LOCAL @dwOldSeh:dword

    ;保存调用者的异常回调函数

    mov eax, fs:[0]

    mov @dwOldSeh, eax

    ;保存调用者回调函数地址 到 next,不然无法找到调用者异常函数处理的地址

    mov eax, fs:[0]

    mov @err.Next, eax

    ;注册异常

    mov @err.Handler, offset F0Handler ;存入异常回调函数地址

    lea eax, @err

    mov fs:[0], eax

    invoke F1

    ;产生异常

    mov eax, 1211h

    mov [eax], eax

    ;卸载SEH

    mov eax, @dwOldSeh

    mov fs:[0], eax

    ret

F0 endp

start:

    invoke F0

    xor eax, eax

        invoke ExitProcess,eax

end start

异常链 : SEH链尾结点是系统默认的异常函数处理地址

但是我们一般不会像上面写

因为结构体是2成员, 一个是调用者的异常回调函数信息结构体地址 , 一个是自己的异常回调函数地址,都是 4字节

那么我们只需要在栈上 push 2个 dword(2个地址指针) ,就可以了

.586

.model flat,stdcall

option casemap:none

   include windows.inc

   include user32.inc

   include kernel32.inc

   includelib user32.lib

   includelib kernel32.lib

.data

   g_szF0 db "F0",0

   g_szF1  db "F1",0

.code

    assume fs:nothing

F1Handler proc uses esi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dword

    invoke MessageBox, NULL, offset g_szF1, NULL, MB_OK

    ;ExceptionContinueExecution, - 程序继续执行

    ;ExceptionContinueSearch, - 此异常我不处理，交给其它处理

    mov eax, ExceptionContinueSearch

    ret

F1Handler endp  

F1 proc

    ;注册SEH

    push offset F1Handler             ; handler push 自己异常回调函数的地址

    push fs:[0] ;next                 ;push 调用者异常处理结构体信息地址

    mov fs:[0], esp

    ;注册回调函数,移位此时esp 存的就是结构体首地址

    xor esi, esi

    div esi

    ;卸载SEH

    pop fs:[0]          ;把 next 弹回 fs:[0]

    add esp, 4          ;平栈,因为自己的异常回调函数地址不需要弹栈,直接丢弃

    ret

F1 endp  

F0Handler proc pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dword

    invoke MessageBox, NULL, offset g_szF0, NULL, MB_OK

    assume esi:ptr EXCEPTION_RECORD

    mov esi, pER

    .if [esi].ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO

        ;处理，跳过产生异常的代码

        mov esi, pContext

        assume esi:ptr CONTEXT

        add [esi].regEip, 2

        assume esi:nothing

        mov eax, ExceptionContinueExecution

        ret

    .endif

    assume esi:nothing

    ret

F0Handler endp

F0 proc

    ;注册异常

    ; | next      | <--esp

    ; | Fohandler | 

    push offset F0Handler ;handler    ;push 自己异常回调函数的地址

    push fs:[0] ;next                 ;push 调用者异常处理结构体信息地址

    mov fs:[0], esp                   ;注册回调函数,移位此时esp 存的就是结构体首地址

    invoke F1

    ;产生异常

    mov eax, 1211h

    mov [eax], eax

    ;卸载SEH

    pop fs:[0]          ;把 next 弹回 fs:[0]

    add esp, 4          ;平栈,因为自己的异常回调函数地址不需要弹栈,直接丢弃

    ret

F0 endp

start:

    invoke F0

    xor eax, eax

        invoke ExitProcess,eax

end start

反调试

一切阻止调试的方法都被称为反调试

在 OD 或者 x32Dbg 中下断点时,他会插入一行代码,但在调试器中看不出来的那就是把这一行指令在内存的第一个字节改成了 CC (int 3)

当 TF 被置位为 1 时 ,执行一行代码就会抛出异常,抛出异常之后就会恢复为 0,因此可以不断通过改变 TF 位,来判断每一行代码,判断是否被下断点

.586

.model flat,stdcall

option casemap:none

   include windows.inc

   include user32.inc

   include kernel32.inc

   includelib user32.lib

   includelib kernel32.lib

.data

   g_szCaption db "友情提示",0

   g_szText  db "你干嘛调试我？",0

   g_szText2 db "结束了", 0

   g_ddEnd dd 0        ;函数结束地址

.code

    assume fs:nothing

FuncTest proc

    ;存储

    mov g_ddEnd, offset ENDTF  ;保存函数结束位置

    ;设置TF标志位  (将值置为1 就会抛异常)

    pushfd

    or dword ptr [esp], 100h

    popfd

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

    xor eax, eax

ENDTF:

    ret

FuncTest endp

;异常回调函数,将 TF 置位

F0Handler proc uses esi edi pER:ptr EXCEPTION_RECORD, pFrame:dword, pContext:ptr CONTEXT, pDC:dword

    assume esi:ptr EXCEPTION_RECORD

    mov esi, pER

    mov edi, pContext

    assume edi:ptr CONTEXT

    ;判断

    mov eax, [edi].regEip

    .if byte ptr [eax] == 0cch   ;指令的第一个字节是CC 说明被调试

        ;被设置断点了

        invoke MessageBox, NULL, offset g_szText, offset g_szCaption, MB_OK

        invoke ExitProcess, 0    ;退出进程

    .endif

    ;结束

    mov eax, g_ddEnd

    .if [edi].regEip == eax    ;程序结束, TF就不需要置位了

        mov eax, ExceptionContinueExecution

        ret

    .endif

    ;继续设置TF标志位

    or [edi].regFlag, 100h

    mov eax, ExceptionContinueExecution

    assume edi:nothing

    assume esi:nothing

    ret

F0Handler endp

F0 proc

    ;注册异常

    ; | next      | <--esp

    ; | Fohandler |

    push offset F0Handler ;handler

    push fs:[0] ;next

    mov fs:[0], esp

    invoke FuncTest

    ;卸载SEH

    pop fs:[0]

    add esp, 4

    ret

F0 endp

start:

    invoke F0

    invoke MessageBox, NULL , offset g_szText2, NULL, MB_OK

    xor eax, eax

        invoke ExitProcess,eax

end start

对于部分调试器,他会接收所有异常,这种处理方式就是把主要代码放在异常中实现

异常很多时候都被用作反调试

对抗反调试的方法:

把代码分成多块,每块做加密,执行每块代码之前先进异常还原,还原之后再进异常变成加密状态,因为不解密前面的代码,无法知道后面的代码去哪

处理方法:代码追踪,把执行的每一行代码记录下来

把代码放到堆里面,在堆里面执行完再回到代码区,这样代码追踪就失效了,因为重启地址就变了