二、C++反作弊对抗实战 (进阶篇 —— 12.如何实现VS2010调试器的调用堆栈列表)

原创于 2022-03-04 10:42:07 发布 · 715 阅读

标签

#C++ #VC #调用堆栈 #检测非法call

收录于

C++反作弊对抗实战同时被 2 个专栏收录

35 篇文章 ¥99.90 ¥299.90

订阅专栏

超级会员免费看

ASM/WTL/MFC/QT

285 篇文章

订阅专栏

本文介绍了如何使用C++实现类似VS2010调试器的调用堆栈列表功能，涉及SymInitialize、CaptureStackBackTrace、SymFromAddr和SymGetLineFromAddr64等API，以及示例代码和实现效果展示。文章还提到这种方法的局限性，即依赖Windows API，并预告了不依赖API遍历调用堆栈的技术。

　　在上一章节介绍了如何利用EBP指针获取上一层的调用地址，从而用来检测非法call，这一章节我们将介绍如何实现一个类似VS调试器中的“调用堆栈窗口”这种效果，能显示出当前模块名、函数名、行号等，如下图所示：

　　这里我们需要用到微软MSDN官方提供的几个API函数：

一、实现原理

1.SymInitialize

　　这个函数是初始化进程所对应的符号处理程序。

BOOL IMAGEAPI SymInitialize(
  [in]           HANDLE hProcess,
  [in, optional] PCSTR  UserSearchPath,
  [in]           BOOL   fInvadeProcess
);

　　hProcess：当前进程句柄，可使用GetCurrentProcess获取到；

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

汪宁宇

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

C++反作弊对抗实战 (目录篇)

Koma的主页

03-02

2958

二、C++反作弊对抗实战 (进阶篇 —— 13.利用内联汇编实现多层深度检测非法call)

Koma的主页

03-04

764

在上章节中介绍了利用ebp返回地址检测非法call函数调用、如何实现VS2010调试器的调用堆栈列表的方法，在这章节中，我们换另一种纯汇编实现的深度多层调用堆栈检测方法，示例代码如下：

参与评论您还未登录，请先登录后发表或查看评论

任鸟飞逆向C++进阶篇

09-07

【课程简介】本课程为任鸟飞逆向C++进阶篇，注重基础理论的务实和简单功能的实现，学员学成后，可独立判断、分析和解决逆向问题、独立编写通用辅助。本套课程不只是一套深入学习C++的课程，更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。逆向思路技术随笔，请关注我的CSDN博客：https://blog.csdn.net/qq_36553941 欢迎大家来学习交流，活动折扣等信息也在其第一时间发布。PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件，工欲望善其事，必先利其器！【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全的学习路线，包括但不限于基础篇、进阶篇（本篇）、高级篇、实战篇等，所以为保证您能学有所成请在学习本篇之前务必掌握基础篇！！！基础篇CSDN学院链接：https://edu.csdn.net/course/detail/30509 【学员学成收获】1、C++编程语言进阶。2、游戏逆向分析进阶。3、游戏安全对抗理论进阶。4、独立编写通用辅助。

VS2010调试-显示堆栈窗口

热门推荐

believe的专栏

08-31

2万+

以中断模式或运行模式显示“调用堆栈”窗口在“调试”菜单中选择“窗口”，然后单击“调用堆栈”。或者（ALT + 7）更改显示的可选信息右击“调用堆栈”窗口，然后设置或清除“显示 ”。在“调用堆栈”窗口中显示非用户代码帧右击“调用堆栈”窗口，然后选择“显示外部代码”。切换到另一个堆栈帧在“调

vs2010设置堆栈大小

cqyczj的专栏

05-22

3943

在解释原因前我们先看一下一个由C/C++编译的程序占用的内存分为几个部分： 1、栈区(stack segment)：由编译器自动分配释放，存放函数的参数的值，局部变量的值等。在Windows下，栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在WINDOWS下，栈的大小是2M(也有的是1M，总之是一个编译时就确定的常数)，如果申请

堆栈，堆栈，堆和栈的区别

06-29

1257

堆和栈的区别 (转贴) 非本人作也!因非常经典,所以收归旗下,与众人阅之!原作者不祥! 堆和栈的区别一、预备知识—程序的内存分配一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区（stack）— 由编译器自动分配释放，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。 2、堆区（heap） — 一般由程序员分配释放，若程序员不释放，程序结束时

字节序

杭城小刘

04-02

246

最近在调一个自定义报文的接口时，本来以为挺简单的，发现踩了好几个坑，其中一个比较“刻骨铭心”的问题就是数据的字节序问题。背景自定义报文，调用接口，服务端报文解析失败 iOS 小端序查看 iOS 设备使用的端序 if (NSHostByteOrder() == NS_LittleEndian) { NSLog(@"NS_LittleEndian"); } if (NSHostByt...

VS2010调试笔记2

wlq19910603的专栏

04-22

918

1、栈溢出问题自己定义的栈，在弹出判断时

VS2010修改工程栈大小

wwkaven的专栏

11-02

8653

1、使用递归算法时， 2、 3、 4、

如何在vs2010中修改栈的大小

轻锋的专栏

10-18

5033

上次运行程序的时候提示栈溢出，oh,my god 程序栈空间不够用了，没关系，可以设置栈的大小，默认是1MB。选择项目->属性->链接器->系统->堆栈保留大小,然后输入你想要的栈大小即可。

VS 2010 设置堆栈大小

u201012980的专栏

10-11

2028

vs2010设置堆栈大小在解释原因前我们先看一下一个由C/C++编译的程序占用的内存分为几个部分： 1、栈区(stack segment)：由编译器自动分配释放，存放函数的参数的值，局部变量的值等。在Windows下，栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在WINDOWS下，栈的大小是2M(也有的是1M，总之

vs2010设置堆栈大小的方法和栈区，堆区以及全局区等含义

weixin_58368590的博客

11-16

3093

1、栈区(stack segment)：由编译器自动分配释放，存放函数的参数的值，局部变量的值等。在Windows下，栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在WINDOWS下，栈的大小是2M(也有的是1M，总之是一个编译时就确定的常数)，如果申请的空间超过栈的剩余空间时，将提示overflow。因此，能从栈获得的空间较小。 2、堆区(heap segment) ：一般由程序员分配释放，若程序员不释放，程序结束时可能由系统回收。它..

vs2010环境下，C#调用C++的dll过程中常见三大问题（内存损坏、托管调试堆栈不对称、调试dll）及解决方案

cwang_running的博客

11-04

3079

Problem1：C# 尝试读取或写入受保护的内存,这通常指示其他内存已损坏。System.AccessViolationException Solution1:dll项目中的函数声明：CPPDLLEXPORT_API void bayes(char* inFileName,float* Tex,int &classifier)； c#项目中的函数声明如下：[DllImport(@"....

vs 堆栈保留大小_滥用方法VS检测手段：深入探究Windows硬件断点和异常

weixin_39789399的博客

12-11

978

0. 前言与常规断点不同，硬件断点主要用于调试目的，它们不需要任何代码修改，并且具有更多功能。因此，在对使用了反调试策略的目标进行调试的过程中，会经常用到这种方法。在本文中，将详细介绍Windows上硬件断点的内部工作原理，并介绍一些常用用法和检测方法。本文中的研究过程是在64位Windows 10 20H1上进行的。在32位Windows上，某些技术可能非常相似，但不作为本文的重点进行...

1 堆栈溢出 - Visual Stdio

qq_42990803的博客

10-14

2928

一、C4996 fopen（‘fscanf’、strcmp）严重性代码说明项目文件行禁止显示状态错误 C4996 fopen（‘fscanf’、strcmp）：This function or variable may be unsafe. 最全解决办法方法一：在程序最前面加#define _CRT_SECURE_NO_DEPRECATE；方法二：在程序最前面加#define _CRT_SECURE_NO_WARNINGS；方法三：在程序最前面加#pragma warning(disable:

win7+vs2010配置驱动开发环境（问题种种版...）

生活从来不曾有过这般惬意...

03-26

6052

本来按照这个来做，能跑通helloworld，可是复杂的驱动就会出错....不知道什么原因，后来就直接用命令行来编译的。 --------------------------------------------------------------------------------------------------------------------- 这个学期和老师做

VS 堆栈溢出的解决方案

lingtianyulong的专栏

04-23

1万+

方法一 : 不静态分配，用new动态创建，从堆中分配的，堆的空间足够大. 不过记得写析构函数，delete你申请的堆空间。其实这样也挺方便，类结束的时候会自动调用析构函数释放空间。养成"不在栈上定义大数组/大对象"的好习惯很重要，否则再大的栈也会被撑爆的。当然，如果你不喜欢new，delete的话，还是静态分配（毕竟静态分配有很多好处），那么可以通过改变默认栈空间来解决。方法