上篇文章Patch Intel int 3断点指令的功能中谈到利用int 3反调试方法，今天想更深入的谈谈关于int 3反调试的方法。 在上篇文章中的方法过于简单直接就返回了，这样容易被发现和恢复。我需要的是更加不容易被发现的方法。 我先把内核当中int 3的中断处理例程贴出来： public _KiTrap03 _KiTrap03 proc push 0 ; push dummy error ... [阅读全文]

今天在调试一个程序时候遇到一个问题，我下了很多的软件断点就是int 3，这当中有的被Enable，有的被Disable，因为断点太多了，我不想一个个手动把Enable的断点，设置成Disable，然后在需要的时候，还要再还原回去太麻烦了，我想有没有什么快捷的手段呢，一下禁用所有的int 3断点，而不要去改windbg里面的断点列表？ 我想到了一个方法。 int 3 指令是一个单字节的指令就是0x... [阅读全文]