端口访问监控原理.docVIP

标 题: 【原创】端口访问监控原理作 者: NetRoc时 间: 2008-06-02,17:48链 接: /showthread.php?t=65903NetRoc/本来不打算写文章的，呵呵。既然AhnLab敢用，我当然也敢写咯，哈哈安博士的反外挂系统最近添加了一个功能，可以检查出来按键精灵、简单游这些用增强版WinIo直接进行端口读写的程序。后来拿来看了一下，其原理就是自己前段时间实现过的那种。通过Hook int 1，设置IO断点进行监控的方法。原理如下：Intel兼容CPU都内置了调试功能。可以设置的断点类型包括执行断点、内存访问断点和IO断点。通过操作DrX寄存器和CR4 寄存器，可以在发生特定端口的读写操作时触发断点。AhnLab的这种检测技术就是基于CPU的这种功能。以下的介绍都基于32位处理器。CPU调试寄存器简介：DR0—DR3寄存器：它们是32位调试地址寄存器。根据DR7中设置的不同，它们可以包含内存地址，也可以包含IO端口号。很多调试器的硬件断点也是通过这几个寄存器实现的，所以一般硬件断点只能设置4个。DR4和DR5：这两个寄存器是被系统保留的，当CR4中的DE被设置时，访问这两个寄存器会产生非法指令错误#UD；当CR4中的DE被清空时，这两个寄存器和DR6、DR7关联，即访问它们和访问DR6、DR7一样。DR6：调试状态寄存器。这