[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点

最新推荐文章于 2025-05-24 00:10:12 发布
原创 最新推荐文章于 2025-05-24 00:10:12 发布 · 9.8k 阅读 · 18
标签
#逆向分析 #OllyDbg #INT3断点 #系统安全 #硬件断点
本文是作者网络安全自学教程的一部分,深入讲解了逆向分析工具OllyDbg的动态调试技巧,涵盖INT3断点、反调试、硬件断点和内存断点。通过实例介绍了INT3断点的查看、原理和应用,以及如何进行反调试和反反调试。此外,还探讨了硬件断点和内存断点的工作原理。文章适合对逆向分析感兴趣的读者,旨在帮助他们提升在安全领域的实践技能。

这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
同时建议先看前一篇文章:逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~

文章目录

PS:本文参考了github、安全网站和参考文献中的文章(详见参考文献),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。

作者的github资源:
软件安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
逆向分析:https://github.com/eastmountyxz/Reverse-Analysis-Case


声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例

了解本专栏 订阅专栏 解锁全文
软件断点INT3
hb_zxl的专栏
05-05 2479
提到调试,很多人立刻会想到设置断点和单步执行。x86系列处理器从其第一代产品8086开始就提供了一条专门用来支持调试的指令,即INT 3调试程序时,我们可以在可能有问题的地方插入一条INT3指令,使CPU执行到这一点时停下来。 这便是软件调试中经常用到的断点(breakpoint)功能,因此INT3指令又称为断点指令。 通过一个小程序感受一下INT3指令的工作原理 vc6建立一个hiInt控制台小程序 程序代码: #include <stdio.h> int main() { .
[调试器实现]第INT3断点
dog0230的博客
05-10 746
INT3断点,简单地说就是将你要断下的指令地址处的第一个字节设置为0xCC,软件执行到0xCC(对应汇编指令INT3)时,会触发异常代码为EXCEPTION_BREAKPOINT的异常。这样我们的调试程序就能够接收到这个异常,然后进行相应的处理。 INT3断点的管理: 在我的程序中,INT3断点的信息结构体如下: structstuPointInfo { Point...
Ollydbg断点设置
ChuMeng1999的博客
10-15 2225
目录预备知识1.断点2.INT3断点3.内存断点4.硬件断点实验目的实验环境实验内容和步骤1.熟练使用OD设置INT3断点2.了解使用OD设置内存断点3.了解使用OD设置硬件断点 预备知识 1.断点 断点,是调试器的核心功能之一,可以让程序中断在需要的地方,从而方便调试器对程序进行跟踪分析调试器对断点有记忆功能,可以在一次调试中设置断点,下一次可以让程序自动运行到上一次设置断点的位置中断下来。 调试器的断点功能是为了方便程序员调试程序,以检测程序的逻辑完整性和功能完整性。比如在几百行的程序源代码中,编译
INT3断点
Jieen的专栏
01-15 2939
INT3断点断点的一种,在诸如Ollydbg中的快捷键是F2,是一种很常用的断点类型。INT3指令的机器码为CC,所以通常也称之为CC指令。当被调试进程执行INT3指令导致一个异常时,调试器就会捕捉这个异常从而停在断点处,然后将断点处的指令恢复成原来的指令。当然,如果自己写调试器,也可以用其他一些指令代替INT3指令来触发异常。  用INT3断点的好处是可以设置无数个断点,缺点是改变了原程序
int3断点指令的原理和示例
TCP/IP
05-21 7577
今天有人让我解释一下断点调试的原理,我就想先解释一下int3指令,就写了一短文。 单字节指令int3进制码是0xcc,它的效果是: 处理器执行到0xcc时,会陷入内核,执行int3的异常处理代码,比如给当前进程发送一个SIGTRAP信号。 就这么简单。剩下的就看信号处理程序如何发挥了。 我给出一个简单的代码,演示一下一个程序的 自我单步跟踪 如何实现: #include <stdio.h> #include <sys/mman.h> #include <signal.
int 3断点检测 和调试
weixin_30919429的博客
08-10 551
感谢师叔的科普。 下面代码来源于52pojie。不想自己写,我是懒人。 #include <windows.h> BOOL DetectFuncBreakpoints(); int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, i...
OD调试常见断点及原理(浓缩版)
weixin_44155363的博客
05-31 4067
OD调试时,常见的断点int3硬件断点内存断点、消息断点、条件断点、条件记录断点等; 1、int 3断点 原理:改变断点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性 FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); Mark =
调试时使用的 7 种断点
VI___
05-05 1305
1、int3 断点,机器码为 0xCC ,因此又叫做 CC 断点 —— n 个 实现方法是比如:将某一行汇编进行了 F2 下断,那么这一行汇编对应的机器码的第一个字节将被改写为 CC ,尽管调试器不会显示,但是实际上已经进行了更改,调试器在执行到这里检测到了 0xCC 之后就会断下。 2、硬件断点,通过 DRx 调试寄存器实现 —— 4 个 DRx 调试寄存器有 8 个:DR0 ~ D...
小甲鱼 OllyDbg 教程系列 (十七)反调试
freeking101的博客
11-25 1745
小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=27 ReverseMe.A.B.C.D 下载地址:https://pan.baidu.com/s/1_aVUa6aDATSpE6bQgc6hLA 提取码:ebo2 [调试] 调试 - 第讲 - OD使用教程22(视频+课件+试验程序)https://fishc.com....
INT 3 异常反调试
weixin_37740119的博客
01-22 1137
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
int 3
最新发布
lydstory123的专栏
05-24 563
int 3执行时触发中断向量号为 3的中断(调试器使用的断点中断)0xCC(单字节)在x86 / x64 实模式、保护模式都有效。
《加密解密》读书笔记1
qq_15054345的博客
08-08 1239
2.7、文件偏移虚拟地址的转换:一些PE文见为减少体积,磁盘对齐值不是一个内存页0x1000,而是0x200,当这类文件映射到内存之后,统一数据相对于文件头的偏移量在内存和磁盘文件中是不同的。而那些磁盘对齐值0x1000内存页相同的区块,同一数据在磁盘文件中的偏移内存中的偏移相同,因此不需要转换。当PE文件被载入时,Windows加载器的工作之一就是定位所有被输入的函数和数据,并让正在载入的文件可以使用那些地址,这项工作是通过PE文件的导入表Import Table完成的。节表后面就是节的内容。
OllyDbg断点详解
m0_46171781的博客
11-01 5183
1.INT3断点 INT3断点也被称为CC断点 直接按F2即可设置,可以放置无数个断点,但是软件内的程序易被校验到从而失效 2.硬件断点 硬件断点和DRx调试器有关,所以只能放置四个断点,右键后选择Breakpoint,再选择Hadware,on execution 即可设置,不容易被检测到 3.内存断点 可以设置内存访问断点内存写入断点,原理是对所设地址赋予不可访问/不可写属性,这样当访问/写入时就会产生异常,OllyDbg截获异常后,比较异常地址是不是断点地址,如果是就会中断 每次出现异常都需要进
OllyDbg(OD)使用教程
03-06
游戏外挂反外挂,游戏安全类,软件破解,软件暴力破解。。。必不可少的工具之一课程目录:01.OllyDbg的界面和配置02.常用快捷键03.爆破一个软件演示下OllyDbg的基本操作04.常用断点INT3断点原理解析05.INT3断点反调试反调试06.常用断点硬件断点原理解析07.常用断点内存断点原理解析08.常用断点之消息断点原理解析09.常用断点之条件断点原理解析10.内存访问一次性断点和条件记录断点11.Run trace 和 Hit trace12.调试符号13.常见插件介绍14.插件的编写
[系统安全] 十四.逆向分析OllyDbg调试INT3断点反调试硬件断点内存断点
杨秀璋的专栏
02-24 7135
作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这文章将讲解逆向分析OllyDbg动态调试工具,包括INT3断点反调试硬件断点内存断点。 这些基础性知识不仅和系统安全相关,同样我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。
再谈Patch int 3 中断例程反调试
anxi2128的博客
09-30 889
文章Patch Intel int 3断点指令的功能中谈到利用int 3反调试方法,今天想更深入的谈谈关于int 3反调试的方法。 在上文章中的方法过于简单直接就返回了,这样容易被发现和恢复。我需要的是更加不容易被发现的方法。 我先把内核当中int 3的中断处理例程贴出来: public _KiTrap03 _KiTrap03 proc ...
反调试 - int 2dh , int 3h
LYSM
07-12 1336
原理 第 0x2d(45) 号中断处理函数是 KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。 如果有调试器,调试器就会接管这个 int 2dh 产生的异常从而不走我们设置的异常回调处理函数,当然如果调试器选择不接管这个异常我们是无法检测出调试器的,所以这是一种比较低级的反调试手段。 代码 int2d_x64.asm: 首先创建一个.cpp 文件,改下后缀为 .asm 找到这个asm 文件
INT 3(手工设置断点)
chikuomin5059的博客
11-28 409
int _tmain(int argc, _TCHAR* argv[]) { _asm INT 3; printf("hello INT 3!\n"); system("pause"); return 0; } cpu遇到INT 3指令是会把执行权转交给调试...
Ollydbg 调试软件常用方法之断点
中游鱼的博客
06-23 2619
很全面,多个语言,C语言,VC,VB,易语言,D语言等等语言的汇编调试
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值