完美绕开CRC32检测的无痕hook _断点

目录
什么是Hook？
Hook分类
初级hook
通过软件断点来实现Hook
设置硬件断点实现无痕Hook
断点寄存器
【完美绕开CRC32检测的无痕hook】处理
单步步入
线程劫持
什么是Hook？
Hook 英文有钩子、曲线球的意思。简单来讲就是走弯路，比如原本程序是从 A 到 B顺序来执行，此时我们在A点做Hook ，将程序执行路线变成了从 A点先到 C点再到 B点，这个过程就叫Hook，C点这里是我们让程序走的弯路，可以通过在C点做数据加工，就可以让程序执行出我们想要的结果。（记住此时的 A B C ，下文都以此为例）
Hook分类
初级hook
初级hook虽然被上述图中(图是网上随便找的)定义为low bi Hook，但却是对Hook原理的最好诠释，正如图中的解释过程一样，是通过jmp 或 Call 等指令实现的跳转，这样一来就会大量破坏源代码，并且我们在C中处理结束后，必须恢复被修改的源码，才能让程序正常运行。因此过程涉及以下关键点：
① 在A点修改机器码跳转到 C点时，使用 jmp/call实现
② 修改前需要保存原数据，以便恢复数据
③ 可以通过和将CPU寄存器信息入栈，再传入参数esp ，通过esp 来访问和修改寄存器信息
④ 可以通过修改 EIP 的值，来返回 B点
通过软件断点来实现Hook
软件断点实现的本质就是在下断点的地方插入int3，也被称之为CC断点。
断点是一种异常，为什么异常会实现跳转，又是怎么指定调转位置，以下必须对的异常处理机制做一定描述。
正常启动后，将运行在保护模式下，当有中断或异常发生时， CPU会通过中断描述符
表（，IDT)来寻找处理函数。因此，IDT表是CPU（硬件）和操作系统（软
件）交接中断和异常的关口。
也就是说当程序出现异常之后，CPU会去找一张表中去查找处理该异常的处理函数。那么如果我们手动让程序在A点出现异常， CPU就会去表中找处理A点异常的处理函数，那此时如果我们把我们的C过程包装成处理A点异常的处理函数，那么也就是实现了从A 点跳转到 C 点的过程，这个跳转跳转过程是 CPU帮我们实现的。
如何包装C点为处理函数，如何让C成为A点的处理函数？一个API可以解决
异常处理函数：
LONG NTAPI (
First,
异常处理函数被调用的顺序
异常处理回调函数
）
此时当异常发生， CPU会第一时间调用异常回调函数，并传递一个作为参数。
typedef struct _EXCEPTION_POINTERS {PEXCEPTION_RECORD ExceptionRecord;PCONTEXTContextRecord;} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;
它包含了所有异常信息和cpu信息。

文章插图
结构体如下——微软文档
typedef struct _EXCEPTION_RECORD {DWORDExceptionCode;DWORDExceptionFlags;struct _EXCEPTION_RECORD*ExceptionRecord;PVOIDExceptionAddress;DWORDNumberParameters;ULONG_PTRExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];} EXCEPTION_RECORD, *PEXCEPTION_RECORD;
因为我们是设置的软件断点，那么我们这里的则为
结构体如下——微软文档
{
DWORD;
DWORDCpsr;
union {
{
X0;
X1;
X2;
X3;
X4;
X5;
X6;
X7;
X8;
X9;
X10;
X11;
X12;
X13;
X14;
X15;
X16;
X17;
X18;
X19;
X20;
X21;
X22;
X23;
X24;
X25;
X26;
X27;
X28;
Fp;
Lr;
} ;
X[31];
} ;
Sp;
Pc;
V[32];
DWORDFpcr;
DWORDFpsr;
DWORDBcr[S];
Bvr[S];
DWORDWcr[S];
Wvr[S];
} , *;
其中其是标志位寄存器，是调试寄存器。以下提供一段添加异常处理的代码，仅供参考。
设置软件断点通过int3 实现，对比第一种需要修改少量源码来实现hook的原始方式，这种Hook方式只需要修改一个字节的机器码，显然被检测的难度提升了。
设置硬件断点实现无痕Hook 断点寄存器
硬件断点和上面的不同，它是基于硬件的，不依赖调试程序，有自己的优势，如果通过CRC校验是不会被检测到的。如下是与硬件断点相关的寄存器结构：
Dr0 ~ Dr3用于设置硬件断点，Dr4和Dr5被保留了。由于只有4个断点寄存器，所以最多只能设置4个硬件调试断点。Dr7是最重要的寄存器，它比较复杂，我们来看看它的结构：
L0/G0 ~ L3/G3
控制Dr0 ~ Dr3是否有效，局部还是全局。
例如位0 L0和位1 G0:用于控制Dr0是全局断点还是局部断点,如果G0为1则是全局断点,如果L0为1则为局部断点。G0,L0 ~G3,L3分别用于控制Dr1~Dr3 。
LEN0 ~ LEN3
表示硬件断点的长度。如果是0表示1个字节；是1表示2个字节；是3表示4个字节。
R/W0 ~ R/W3
指示断点类型。如果是0表示执行断点；是1表示写入断点；是3表示访问断点。
处理
硬件调试断点产生的异常是，即单步异常。触发异常后，B0 ~ B3对应的位会被置1，以此可以区分单步步入产生的单步异常。
单步步入
在调试中我们经常一条指令一条指令的进行调试，这大大方便了我们查阅结果， CPU提供了这样的基址，就是在Eflag中的TF位实现的，如下图所示：
线程劫持
我们如果要设置硬件断点就要修改Dr0 ~ Dr3 和Dr7 的数据，此时可以在设计自己的线程函数，然后对该函数使用第二种的Hook的方式，从而修改断点寄存器Dr0 ~ Dr3 和Dr7的值，来控制Hook的触发.
由此可见，硬件断点的Hook过程是通过断点寄存器来完成Hook过程的，不会修改源程序的机器码，自然无视CRC32检测。