CALL处 F8的“bug“

看zpchcbd师傅的一篇文章看到了这个比较有趣的点。实操跟着过一遍。

准确来说这个不能说是"bug",这可以是一种"刻意为之"的手段,可以用于加壳、反调试等逆向技术中。

原理:

F8步过call的时候,其实是在call的地址的+5处下断点,也就是call的下一条指令下断点。

那如果我们在call调用的函数中,改变返回地址,使得不是默认的+5,那么F8就形同虚设,根本断不到,所以程序就直接F9了。

感觉这种完全可以结合SEH来设置[eax+2]的eip来做一个反调试,再加点junkcode,效果应该挺不错。

示例程序:

就是瞎改了call结束时的返回地址(通过改变栈顶[rsp]的值)

c 复制代码
#include<stdio.h>
#include<Windows.h>

int iEax;
int iRet;

void _declspec(naked) test01() {
	printf("Cheat F8 Test...\n");
	__asm {
		mov iEax, eax;
		mov eax, [esp];
		add eax, 7;
		mov iRet, eax;
		push iRet;
		ret;
	}
}

void test02() {
	printf(":?");
	return;
}

int main() {
	int a = 0;
	printf("testing...");
	test01();
	a = 1;
	getchar();
	return 0;
}

visual studio编译为32位后,x32dbg调试。

在这里:

我们直接F8过这个call的话,程序会直接运行到最终暂停的点。

对应这里就是这个int 29处,因为写asm的时候貌似写出了一些异常,不管了。。

也就是说,我们F8步过根本没有断到call返回的指令地址,而是直接F9了。

如果我们F7步入call,然后步过到ret跳出call,就会发现能够到call的返回地址处:

虽然是个奇怪的地址,但确实是断下了。

相关推荐
九鼎科技-Leo2 小时前
什么是 WPF 中的依赖属性?有什么作用?
windows·c#·.net·wpf
Yang.994 小时前
基于Windows系统用C++做一个点名工具
c++·windows·sql·visual studio code·sqlite3
我不瘦但很逗4 小时前
Windows下使用DBeaver连接云数据库(MySQL)
数据库·windows
ashane13145 小时前
Java list
java·windows·list
万里沧海寄云帆6 小时前
Word 插入分节符页码更新问题
windows·microsoft·word
dot.Net安全矩阵7 小时前
.NET 通过模块和驱动收集本地EDR的工具
windows·安全·web安全·.net·交互
编程修仙8 小时前
Collections工具类
linux·windows·python
程序员小羊!9 小时前
高级 SQL 技巧讲解
windows
xiangshangdemayi11 小时前
Windows环境GeoServer打包Docker极速入门
windows·docker·容器·geoserver·打包·数据挂载
a_安徒生12 小时前
window系统改为Linux系统
linux·windows·centos·系统安全