今天在调试一个程序时候遇到一个问题,我下了很多的软件断点就是int 3,这当中有的被Enable,有的被Disable,因为断点太多了,我不想一个个手动把Enable的断点,设置成Disable,然后在需要的时候,还要再还原回去太麻烦了,我想有没有什么快捷的手段呢,一下禁用所有的int 3断点,而不要去改windbg里面的断点列表?
我想到了一个方法。
int 3 指令是一个单字节的指令就是0xCC,当CPU执行到这条指令之后相对应的中断例程,在Windows中就是KiTrap03。在这个例程中会去调用CommonDispatchException,这个函数去做分发并最终通知到调试器。我的做法很简单就是直接patch这个中断例程的处理函数让它直接返回就可以了!
我在windbg里面我执行如下命令:
kd> !idt -a
Dumping IDT:
00: 804df50e nt!KiTrap00
01: 804df68d nt!KiTrap01
02: Task Selector = 0x0058
03: 804dfaa1 nt!KiTrap03 ;---> int 3的中断处理例程
04: 804dfc24 nt!KiTrap04
05: 804dfd89 nt!KiTrap05
06: 804dff0a nt!KiTrap06
07: 804e0583 nt!KiTrap07
08: Task Selector = 0x0050
09: 804e0988 nt!KiTrap09
0a: 804e0aa6 nt!KiTrap0A
0b: 804e0be3 nt!KiTrap0B
0c: 804e0e40 nt!KiTrap0C
----------------------------------
kd> u 804dfaa1
nt!KiTrap03:
804dfaa1 6a00 push 0
804dfaa3 66c74424020000 mov word ptr [esp+2],0
804dfaaa 55 push ebp
804dfaab 53 push ebx
804dfaac 56 push esi
----------------------------------
kd> eb 804dfaa1 CF
kd> u 804dfaa1
nt!KiTrap03:
804dfaa1 cf iretd ;呵呵,我在这儿直接返回了相当于没有断点功能了
804dfaa2 0066c7 add byte ptr [esi-39h],ah
804dfaa5 44 inc esp
804dfaa6 2402 and al,2
804dfaa8 0000 add byte ptr [eax],al
804dfaaa 55 push ebp
----------------------------------
现在应该是没有软件断点的功能了,调试器不会收任何int 3发出的调试事件了。但是事实上是不是真的这样呢?
因此,我写了一个实验的程序如下:
这个程序如果正常的情况下中断到调试器,如果没有调试就Crash了。但是如果int 3的中断处理的例程被干掉了,就是顺利的执行下来。
上图中可以看到int 3断点没有起作用。
不过,这样一来原先下断点的地方得不到恢复,这种方法不行啊!
对于复杂的断点列表只能手工导出,再导入了,这个方法有点拙!
不过,这样一搞倒是有反调试的效果了!
ring3层的调试器就下了软件断点反而会crash,ring3层的调试会被干扰。
严格的说这种方法是反下软件断点,而且效果还不错!
真是无心插柳柳真荫啊!!!