反调试&反反调试&OD插件的编写

woaidaima2016

windows异常分发回顾
异常的分发一共有多少轮？
一共有两轮。 KiDispatchExcption 函数的最后一个参数 FirstChance 表示当前是第几次进行异常的分发，另一个函数 RaiseException 最后一个参数也表示当前是第几次分发

通过什么可以区分当前所处的是 R0 还是 R3
在 windows 下，代码被分为了 R3 和 R0 权限，CS 段寄存器的最低两位就表示当前所处的是 3环(用户) 还是 0环(内核)，可以通过 mov eax, cs + test eax, 1 区分

异常的产生方式有多少种
CPU 满足特定的条件之后，内部主动产生的异常，类似 int 3（IDT）

用户通过 RaiseException 构建 ExceptionRecord 主动抛出异常（KiDispatchException）

编译器会为用户自定义的 __try __except 添加怎样的异常处理函数
在同一个函数内，无论用户编写了多少个 SEH，编译器只会安装一个 except_handler4

当用户模式下产生异常时，SEH 函数会在什么时候被调用
int3 -> idt(3) -> _KiTrap03 -> CommonDispatchException -> KiDispatchExceptijon

-> KeUserExceptionDispatcher(3) -> RtlDispatchException(3) -> RtlpExecuteHandlerForException(3) -> except_handler4 -> except_handler4_common

-> 用户通过 _try _except 安装的异常处理函数

在 R0 中异常是如何被传递给三环调试器的
DbgkForwardException -> DbgkpSendApiMessage -> 三环调试器

R0 和 R3 的 RtlDispathException 有什么区别
KiDispatchException(0) -> RtlDispathException(0) -> SEH

KiUserExceptionDispatcher(3) -> RtlDispathException(3) -> VEH SEH UEF (VCH)

反调试与反反调试
反调试技术术语高级逆向分析技术范畴，并且涉及面异常广阔，几乎任何技术在经过精心的构造后都可以变成反调试技术

未公开的数据结构查询网站：https://www.vergiliusproject.com/

静态反调试：一般在调试开始时阻拦调试者，调试者只需要找到原因后可一次性突破
动态反调试：一般在调试过程中阻拦调试者，可在调试的过程中被频繁触发，因此需要调试者随时关注
对于所有的用户层 PEB 静态反调试，可以在程序正式的运行之前先挂起用户程序，然后修改相应的字段为非调试模式，再继续执行