[系统安全] 二十四.逆向分析之OD调试INT3断点、反调试、硬件断点与内存断点

作者前文介绍了OllyDbg动态调试工具的基本用法，包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具，包括INT3断点、反调试、硬件断点和内存断点。

这些基础性知识不仅和系统安全相关，同样与我们身边常用的软件、文档、操作系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章，并结合自己的经验和实践进行撰写，在此感谢这些大佬们。

文章目录：

从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“系统安全”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~ 推荐前文：网络安全自学篇系列-100篇 https://blog.csdn.net/eastmount/category_9183790.htm

作者的github资源：

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。该样本不会分享给大家，分析工具会分享。（参考文献见后）

INT3断点对应OD中的F2断点，有时也称为CC断点。为什么叫CC断点呢？因为转换成硬编码之后就是CC，我们来查看CC断点。

首先，我们用OD打开程序TraceMe.exe

打开之后会自动定位至004013A0，接着再下一行增加断点（按F2），即INT3断点。

但OD中并没有显示CC，我们打开Cheat Engine软件。

然后在OD按下F9运行，弹出如下图对话框。

接着在CE中选择该程序TraceMe打开。

然后点击“手动加入地址”，输入地址“4013A1”。

接着选中数据并右键点击“显示为十六进制”。

由于采用小端存储，故“FF6AECCC”是从右往左数的，如下图所示。

如果我们选择“4字节”点击，然后选择“Byte”，可以转换成1个字节，因为CC就占用一个字节，我们主要是观察它的。

为什么OD不显示CC呢？ 其实OD是为了不破坏源代码的完整性，默认隐藏掉了。

接着我们分析INT3的原理。程序运行中，OD会检查汇编指令有没有INT3，即机器码有没有CC指令。如果存在，就会引发并捕获这个异常，程序就中断在此处，然后OD会删除INT3，还原原来的代码，接着继续运行我们的程序。

执行流程的原理可归纳为：

优点：

缺点：

为什么要详细介绍断点的原理呢？ 只有了解每个断点的原理之后，以后做爆破才知道应该下什么样的断点合适。

接下来我们举个INT3断点的例子，使用OD打开TraceMe.exe程序，设置API断点。

这里勾选“GetDlgItemTextA”函数。

接着输入用户名和序列号，按F9运行程序。

代码会停在“761F4390”位置，我们接着用CE看看它是不是CC断点。

接着以十六进制显示，并只显示一字节，发现的确是CC断点。所以，CC断点很容易被检测出来。

我们编写的软件被爆破时，总会被下INT3断点，我们能不能写个程序防止别人下CC断点，从而保护我们的程序呢？这个就叫反调试，而反反调试是绕过保护过程。

基础知识：

接着我们用VS编写代码讲解。LoadLibrary函数会返回一个句柄，然后调用GetProcAddress函数。GetProcAddress返回值包括：

第一步，我们打开VS编写C++代码。

下列代码是获取MessageBoxA函数的首地址，并判断是否为CC断点。

在VS中输入上述代码。

第二步，运行前，需要简单设置。

第三步，接着运行代码 运行结果如下图所示：

显示代码正常执行。

第四步，使用OD调试程序 接下来我们尝试调试这个EXE程序，用OD打开“ConsoleApplication1.exe”。

OD打开如下图所示：

然后点击“插件”->“API断点设置工具”->“常用断点设置”，给MessageBoxA下断点。

运行OD，断点位于761E0F40位置，对应user32.MessageBoxA。

继续运行代码。

查看调试信息，发现检测到非法调试，也表明我们的判断没有问题。

第五步，删除断点对比执行结果 接着按下“b”删除断点，继续运行代码。

发现代码正常运行。

这就是一个INT3断点的反调试过程。 那么，怎么进行反反调试呢？我们又怎么下INT3断点呢？

我们进入函数之后，可以将断点下到中间或尾部即可。OD重新打开程序，并找到MessageBoxA的位置。

我们在中间位置下断点，如下图所示 761E0F45处。

接着F9运行程序，发现此时输出“代码正常”，该断点并没有被检测出来，这就是所谓的反反调试。

硬件断点和调试寄存器有关，共有8个调试寄存器DR0~DR7。

原理：

优点：

缺点：

接着我们继续用OD分析TraceMe.exe为例，打开之后定位至004013A0位置。

选择004013B6位置，右键“断点”->“硬件执行”。

这样就增加了一个硬件断点，当CPU运行到该地址会发送一场信息中断。

如何查看硬件断点呢？点击“调试”->“硬件断点”可以查看刚打的硬件断点。

接着按下F9运行程序，它会停在硬件断点位置。

在介绍内存断点之前，首先需要知道什么是内存属性。内存属性包括Read、Write、Execute的组合，即可读、可写、可执行。比如VirtualProtectEx函数，可以改变在特定进程中内存区域的保护属性。

内存断点就是根据内存属性来实现的，比如想对一个地址打个内存访问断点，就是把这个地址的内存属性改为不可访问（不可读写执行），当程序运行到此处时，就会产生一个异常被OD捕获，从而中断程序。

原理：

优点：

接下来我们想在004013D0位置代码增加内存断点，对应代码：

该代码就是一个写操作，edx往ds:[0x405528]中写入一个值。

选择数据窗口中跟随。

然后再数据窗口中选择4个字节，右键“断点”->“内存写入”或“内存访问”。

然后按下F9运行，此时断到了此处。证明我们内存写入断点已经生效。

接下来补充内存读写断点和硬件读写断点的区别。

以刚才的代码为例，我们先删除刚才的内存断点。

接着OD重新打开EXE程序，数据窗口跟随到405528。

选中4字节，设置其为“硬件写入”断点。

运行代码，此时硬件断点断在了下一行位置004013D6。

至此，内存断点和硬件断点介绍完毕！

写到这里，这篇文章就介绍完毕，希望对您有所帮助，系统安全确实难，我学起来也费劲，需要坚持。

这篇文章中如果存在一些不足，还请海涵。作者作为网络安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享，感谢师傅、师兄师弟、师姐师妹们的教导，深知自己很菜，得努力前行。

前文回顾（下面的超链接可以点击喔）：

2020年8月18新开的“娜璋AI安全之家”，主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解，同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统，并重构作者的所有文章，从零讲解Python和安全，写了近十年文章，真心想把自己所学所感所做分享出来，还请各位多多指教！谢谢。2021年继续加油！

参考资料：