端口访问监控原理.docVIP

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
端口访问监控原理

标 题: 【原创】端口访问监控原理 作 者: NetRoc 时 间: 2008-06-02,17:48 链 接: /showthread.php?t=65903 NetRoc / 本来不打算写文章的,呵呵。既然AhnLab敢用,我当然也敢写咯,哈哈 安博士的反外挂系统最近添加了一个功能,可以检查出来按键精灵、简单游这些用增强版WinIo直接进行端口读写的程序。后来拿来看了一下,其原理就是自己前段时间实现过的那种。通过Hook int 1,设置IO断点进行监控的方法。 原理如下: Intel兼容CPU都内置了调试功能。可以设置的断点类型包括执行断点、内存访问断点和IO断点。通过操作DrX寄存器和CR4 寄存器,可以在发生特定端口的读写操作时触发断点。AhnLab的这种检测技术就是基于CPU的这种功能。以下的介绍都基于32位处理器。 CPU调试寄存器简介: DR0—DR3寄存器:它们是32位调试地址寄存器。根据DR7中设置的不同,它们可以包含内存地址,也可以包含IO端口号。很多调试器的硬件断点也是通过这几个寄存器实现的,所以一般硬件断点只能设置4个。 DR4和DR5:这两个寄存器是被系统保留的,当CR4中的DE被设置时,访问这两个寄存器会产生非法指令错误#UD;当CR4中的DE被清空时,这两个寄存器和DR6、DR7关联,即访问它们和访问DR6、DR7一样。 DR6:调试状态寄存器。这个寄存器用于在调试事件发生时报告状态信息。要判断是哪个断点被触发,触发的原因之类的就是靠它里面的值。DR6的定义如下: ?? typedef struct _DR6INFO { ?? unsigned B0?? :?? 1;?? //B0 ?? unsigned B1?? :?? 1;?? //B1 ?? unsigned B2?? :?? 1;?? //B2 ?? unsigned B3?? :?? 1;?? //B3 ?? unsigned Reserved1?? :?? 9;?? //reserved ?? unsigned BD?? :?? 1;?? //BD ?? unsigned BS?? :?? 1;?? //BS ?? unsigned BT?? :?? 1;?? //BT ?? unsigned Reserved2?? :?? 16;?? //Reserved }DR6INFO, *PDR6INFO; ?? B0到B3用于指示哪个断点被触发。它们分别对应于DR0到DR3中的地址或端口。( ??( BD表示触发断点的下一条指令是对调试寄存器的访问。当DR7的GD标志被设置时,对调试寄存器进行访问的指令会触发调试事件,并且DR6的BD被设置。 ??( BS表示是由于单步执行触发的调试事件。当EFLAGS的TF标志被设置时,这种断点会被触发。 ??( BT指示是由于任务切换触发的调试事件。当TSS中的T标志被设置时会产生这种事件。 DR7:调试控制寄存器。对断点是否启用、断点类型等的控制。设置断点需要配合DR0—DR3和DR7寄存器。定义如下: typedef struct _DR7INFO { ?? unsigned L0?? :?? 1;?? //L0 ?? unsigned G0?? :?? 1;?? //G0 ?? unsigned L1?? :?? 1;?? //L1 ?? unsigned G1?? :?? 1;?? //G1 ?? unsigned L2?? :?? 1;?? //L2 ?? unsigned G2?? :?? 1;?? //G2 ?? unsigned L3?? :?? 1;?? //L3 ?? unsigned G3?? :?? 1;?? //G3 ?? unsigned LE?? :?? 1;?? //LE ?? unsigned GE?? :?? 1;?? //GE ?? unsigned Reserved1?? :?? 3;?? //reserved ?? unsigned GD?? :?? 1;?? //GD ?? unsigned Reserved2?? :?? 2;?? //reserved ?? unsigned RW0?? :?? 2;?? //R/W0 ?? unsigned LEN0?? :?? 2;?? //LEN0 ?? unsigned RW1?? :?? 2;?? //R/W1 ?? unsigned LEN1?? :?? 2;?? //LEN1 ?? unsigned RW2?? :?? 2;?? //R/W2 ?? unsigned LEN2?? :?? 2;?? //LEN2 ?? unsigned RW3?? :?? 2;?? //R/W3 ?? unsigned LE

文档评论(0)

kabudou + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档