CALL处 F8的“bug“
看zpchcbd师傅的一篇文章看到了这个比较有趣的点。实操跟着过一遍。
准确来说这个不能说是"bug",这可以是一种"刻意为之"的手段,可以用于加壳、反调试等逆向技术中。
原理:
F8步过call的时候,其实是在call的地址的+5处下断点,也就是call的下一条指令下断点。
那如果我们在call调用的函数中,改变返回地址,使得不是默认的+5,那么F8就形同虚设,根本断不到,所以程序就直接F9了。
感觉这种完全可以结合SEH来设置[eax+2]的eip来做一个反调试,再加点junkcode,效果应该挺不错。
示例程序:
就是瞎改了call结束时的返回地址(通过改变栈顶[rsp]的值)
#include<stdio.h>
#include<Windows.h>
int iEax;
int iRet;
void _declspec(naked) test01() {
printf("Cheat F8 Test...\n");
__asm {
mov iEax, eax;
mov eax, [esp];
add eax, 7;
mov iRet, eax;
push iRet;
ret;
}
}
void test02() {
printf(":?");
return;
}
int main() {
int a = 0;
printf("testing...");
test01();
a = 1;
getchar();
return 0;
}
visual studio编译为32位后,x32dbg调试。
在这里:
我们直接F8过这个call的话,程序会直接运行到最终暂停的点。
对应这里就是这个int 29处,因为写asm的时候貌似写出了一些异常,不管了。。
也就是说,我们F8步过根本没有断到call返回的指令地址,而是直接F9了。
如果我们F7步入call,然后步过到ret跳出call,就会发现能够到call的返回地址处:
虽然是个奇怪的地址,但确实是断下了。