(05-01-2025, 12:51 AM)GamingMasteR كتب : تاريخ المشاركة 2008-08-26 - 07:39 PM 

أول 8 بتات ( 0 -> 7 ) يمكن تقسيمهم الى اثنين اثنين بحيث كل اثنين يخصان احدى نقط التوقف ,, اذا تم وضع اول بت (L) فأن نقطة التوقف تكون local breakpoint أي يحدث الـDebug exception في الـProcess صاحب الـthread الذي غيرنا Dr7 له .
ثاني بت (G) لوصف نقطة التوقف على انها global breakpoint اي يحدث الـdebug exception اذا توافرت شروطه في جميع الـprocesses .
من R/W0 الى R/W3 :
لتحديد نوع نقطة التوقف ,, هل اذا تم القراءة من العنوان او الكتابة عليه او تنفيذه كتعليمة ,, يمكن وضع قيمته كالتالي (بالبت) :
00 : توقف عند تنفيذ التعليمة التي بالعنوان .
01 : توقف عند الكتابة على العنوان .
10 : لا تستعمل الا في ظروف خاصة (للهاردوير) .
11 : توقف عند القراءة او الكتابة من العنوان .
من LEN0 الى LEN3 :
لتحديد طول البيانات التي ستضع عليها نقطة التوقف ,, يمكن وضع قيمته كالتالي (بالبت) :
00 : لتحديد طول 1 بايت .
01 : لتحديد طول 2 بايت .
10 : تستخدم في بعض المعالجات لتحديد طول 8 بايت (اقرأ الـdocumentations الخاصة بإنتل او AMD لتفاصيل اكثر) .
11 : لتحديد طول 4 بايت .
-----------------------------------------
حسنا لقد تعرفنا بما فيه الكفاية على مسجلات التنقيح ...
الان ما الخطة التي سنعمل عليها ؟
كيف سنقوم بوضع HWBP عملياً على Process معين ؟
كيف سنعرف انه تم الوصول الى نقطة توقف معينة ؟
لتوضيح الفكرة بشكل عملي سنقوم بكتابة debugger صغير يقوم بعمل debug على برنامج crackme كمثال ووضع نقط توقف فيه وعمل اشياء اخرى .
لتنقيح برنامج معين يمكن فعل ذلك عن طريق انشاء العملية بالدالة CreateProcess ووضع بارامتر الاعلام flags == DEBUG_PROCESS ..
كفكرة عامة ما الذي يحدث عند وقوع خطأ في برنامج معين ليس تحت التنقيح ؟
يتم اظهار الـexception او كما يقال exception raise ويتم تسليم اول SEH handler التنفيذ (ليس بدقّة) .. لكن ما يحدث عند وجود البرنامج تحت التنقيح ان الـdebugger هو الذي يستلم الـexecution ونوع الـexception الذي حدث ويقرر اذا كان سيتعامل مع هذا الـexception ام يجعل البرنامج نفسه (debuggee) هو الذي يتعامل مع الـexception .. أرجو ان تكون هذه الفكرة واضحة !
دوال win32api توفر عدة دوال للتعامل مع التنقيح مثل WaitForDebugEvent - GetThreadContext - SetThreadContext - Read/WriteProcessMemory ..
طبعا نحن هنا لسنا بصدد التعرف على تلك الدوال .. يمكنك التطلع عليهم اكثر في مكتبة MSDN .
عند حدوث HWBP يتم رفع exception من النوع EXCEPTION_SINGLE_STEP الى المنقح اذا كان موجوداً .. اذا لابد علينا من عمل handling لهذا الـexception code ..
طيب سؤال اخر .. كيف نعرف اي HWBP من الاربعة هو الذي حدث ؟ لا توجد دوال api معينة لمعرفة ذلك !
صحيح .. نحن لم نتكلم عن Dr6 بالتفصيل بعد كما وعدنا وها قد حان الوقت .. تركيبة هذا المسجل بسيطة جداً كالتالي :

ما يهمنا معرفته هو أول 4 bits وهي تمثل بت لكل HWBP .. اذا تم وضع احدهم فهو يدل على ان الـHWBP المناظر له هو الذي حدث .
حسنا كيف نضع HWBP ؟؟
ستقول لي من مسجلات التنقيح Drx ؟! طيب ما انت عارف ان استخدامها privileged ولايمكن تغييرها من user-mode !!
سأقول لك لا .. أين ذهبت دالة SetThreadContext اذا ؟؟

BOOL WINAPI SetThreadContext(
  __in      	HANDLE hThread,
  __in      	const CONTEXT* lpContext
);

struct {
	DWORD ContextFlags;
	//
	// This section is specified/returned if CONTEXT_DEBUG_REGISTERS is
	// set in ContextFlags.  Note that CONTEXT_DEBUG_REGISTERS is NOT
	// included in CONTEXT_FULL.
	//
	DWORD   Dr0;
	DWORD   Dr1;
	DWORD   Dr2;
	DWORD   Dr3;
	DWORD   Dr6;
	DWORD   Dr7;
	//
	// This section is specified/returned if the
	// ContextFlags word contians the flag CONTEXT_FLOATING_POINT.
	//
	FLOATING_SAVE_AREA FloatSave;
	//
	// This section is specified/returned if the
	// ContextFlags word contians the flag CONTEXT_SEGMENTS.
	//
	DWORD   SegGs;
	DWORD   SegFs;
	DWORD   SegEs;
	DWORD   SegDs;
	//
	// This section is specified/returned if the
	// ContextFlags word contians the flag CONTEXT_INTEGER.
	//
	DWORD   Edi;
	DWORD   Esi;
	DWORD   Ebx;
	DWORD   Edx;
	DWORD   Ecx;
	DWORD   Eax;
	//
	// This section is specified/returned if the
	// ContextFlags word contians the flag CONTEXT_CONTROL.
	//
	DWORD   Ebp;
	DWORD   Eip;
	DWORD   SegCs;          	// MUST BE SANITIZED
	DWORD   EFlags;         	// MUST BE SANITIZED
	DWORD   Esp;
	DWORD   SegSs;
	//
	// This section is specified/returned if the ContextFlags word
	// contains the flag CONTEXT_EXTENDED_REGISTERS.
	// The format and contexts are processor specific
	//
	BYTE	ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];
} CONTEXT;

bool SetHWBP(HANDLE hThread, unsigned int linearAddress, int type, int length, int count)
{
	CONTEXT context = {CONTEXT_ALL|CONTEXT_DEBUG_REGISTERS};
	DR7 dr7;
	if (GetThreadContext(hThread, &context))
	{
    	dr7 = *(DR7*)&context.Dr7;
    	switch (count)
    	{
    	case 0:
        	{
            	context.Dr0 = linearAddress;
            	dr7.HWBP0_MODE   = HWBP_LOCAL;
            	dr7.HWBP0_LENGTH = length;
            	dr7.HWBP0_ACCESS = type;
            	break;
        	};
    	case 1:
        	{
            	context.Dr1 = linearAddress;
            	dr7.HWBP1_MODE   = HWBP_LOCAL;
            	dr7.HWBP1_LENGTH = length;
            	dr7.HWBP1_ACCESS = type;
            	break;
        	};
    	case 2:
        	{
            	context.Dr2 = linearAddress;
            	dr7.HWBP2_MODE   = HWBP_LOCAL;
            	dr7.HWBP2_LENGTH = length;
            	dr7.HWBP2_ACCESS = type;
            	break;
        	};
    	case 3:
        	{
            	context.Dr3 = linearAddress;
            	dr7.HWBP3_MODE   = HWBP_LOCAL;
            	dr7.HWBP3_LENGTH = length;
            	dr7.HWBP3_ACCESS = type;
            	break;
        	};
    	default:
        	return false;
    	};
    	context.Dr7 = *(PDWORD)&dr7;
    	return SetThreadContext(hThread, &context);
	};
	return false;
};

bool RemoveHWBP(HANDLE hThread, int count)
{
	CONTEXT context = {CONTEXT_ALL|CONTEXT_DEBUG_REGISTERS};
	DR7 dr7;
	if (GetThreadContext(hThread, &context))
	{
    	dr7 = *(DR7*)&context.Dr7;
    	switch (count)
    	{
    	case 0:
        	{
            	context.Dr0	= 0;
            	dr7.HWBP0_MODE = 0;
            	break;
        	};
    	case 1:
        	{
            	context.Dr1	= 0;
            	dr7.HWBP1_MODE = 0;
            	break;
        	};
    	case 2:
        	{
            	context.Dr2	= 0;
            	dr7.HWBP2_MODE = 0;
            	break;
        	};
    	case 3:
        	{
            	context.Dr3	= 0;
            	dr7.HWBP3_MODE = 0;
            	break;
        	};
    	default:
        	return false;
    	};
    	context.Dr7 = *(PDWORD)&dr7;
    	return SetThreadContext(hThread, &context);
	};
	return false;
};

struct {
	ULONG	HWBP0_MODE    	:2;
	ULONG	HWBP1_MODE    	:2;
	ULONG	HWBP2_MODE    	:2;
	ULONG	HWBP3_MODE    	:2;
	ULONG	LE            	:1;
	ULONG	GE            	:1;
	ULONG	__unused    	:6;
	ULONG	HWBP0_ACCESS	:2;
	ULONG	HWBP0_LENGTH	:2;
	ULONG	HWBP1_ACCESS	:2;
	ULONG	HWBP1_LENGTH	:2;
	ULONG	HWBP2_ACCESS	:2;
	ULONG	HWBP2_LENGTH	:2;
	ULONG	HWBP3_ACCESS	:2;
	ULONG	HWBP3_LENGTH	:2;
}DR7;

00403FE9	CALL 00403E60
00403FEE	MOV EDX,dword ptr [ebp - 208]	---------------------> good serial
00403FF4	POP EAX
00403FF5	CALL 00402F58
00403FFA	JE SHORT 00404011    	---------------------> magic jump
00403FFC	PUSH 0
00403FFE	PUSH 00404050
00404003	PUSH 004040DC
00404008	PUSH 0
0040400A	CALL <JMP.&user32.MessageBoxA>	---------------------> badboy msg
0040400F	JMP SHORT 00404024
00404011	PUSH 0
00404013	PUSH 00404050
00404018	PUSH 00404100
0040401D	PUSH 0
0040401F	CALL <JMP.&user32.MessageBoxA>	---------------------> goodboy msg
00404024	XOR EAX,EAX

struct {
	ULONG	CF        	:1;
	ULONG	__unused0	:1;
	ULONG	PF        	:1;
	ULONG	__unused1	:1;
	ULONG	AF        	:1;
	ULONG	__unused2	:1;
	ULONG	ZF        	:1;
	ULONG	SF        	:1;
	ULONG	TF        	:1;
	ULONG	IF        	:1;
	ULONG	DF        	:1;
	ULONG	OF        	:1;
	ULONG	IOPL    	:2;
	ULONG	__unused3	:1;
	ULONG	RF        	:1;
	ULONG	VM        	:1;
	ULONG	AC        	:1;
	ULONG	VIF        	:1;
	ULONG	VIP        	:1;
	ULONG	ID        	:1;
	ULONG	__unused4	:10;
}EFLAGS;