一種基于Windows操作系統(tǒng)的軟件無(wú)限斷點(diǎn)設(shè)置方法，首先對(duì)被調(diào)試軟件設(shè)置若干斷點(diǎn)，然后將斷點(diǎn)地址所在的內(nèi)存頁(yè)的屬性改為不可訪問(wèn)，被調(diào)試軟件執(zhí)行過(guò)程中觸發(fā)頁(yè)面錯(cuò)誤異常并執(zhí)行到MmAccessFault()函數(shù)入口時(shí)，判斷該頁(yè)面錯(cuò)誤異常的內(nèi)存地址是否是設(shè)置的斷點(diǎn)，如果是則通過(guò)NtProtectVirtualMemory()函數(shù)修改斷點(diǎn)所在的內(nèi)存頁(yè)的屬性為可讀可寫(xiě)可執(zhí)行，并將開(kāi)啟單步調(diào)試模式，被調(diào)試軟件繼續(xù)執(zhí)行，當(dāng)觸發(fā)調(diào)試陷阱異常并執(zhí)行到Windows操作系統(tǒng)內(nèi)核的KiTrap01()函數(shù)的入口時(shí)，通過(guò)NtProtectVirtualMemory()函數(shù)設(shè)置該斷點(diǎn)所在的內(nèi)存頁(yè)的屬性為不可訪問(wèn)，恢復(fù)斷點(diǎn)設(shè)置，關(guān)閉單步調(diào)試模式，被調(diào)試軟件繼續(xù)執(zhí)行。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)應(yīng)用技術(shù)軟件調(diào)試領(lǐng)域，具體涉及一種基于Windows操作系統(tǒng)的軟件無(wú)限斷點(diǎn)設(shè)置方法。

背景技術(shù)

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，計(jì)算機(jī)惡意軟件的數(shù)量和種類(lèi)呈現(xiàn)逐年上升的態(tài)勢(shì)，其中大部分是基于Windows操作系統(tǒng)的惡意軟件。由于大部分惡意軟件無(wú)法獲得源代碼，計(jì)算機(jī)安全人員為了分析惡意軟件的工作原理，需要使用調(diào)試器設(shè)置斷點(diǎn)對(duì)惡意軟件的二進(jìn)制程序進(jìn)行動(dòng)態(tài)調(diào)試，以便獲得其結(jié)構(gòu)和內(nèi)部功能。

現(xiàn)有基于Windows操作系統(tǒng)的軟件調(diào)試器可設(shè)置斷點(diǎn)的類(lèi)型主要有兩種：一種是硬件斷點(diǎn)，另一種是軟件斷點(diǎn)。硬件斷點(diǎn)由CPU處理器提供，但是由于CPU處理存儲(chǔ)單元有限，只能設(shè)置有限個(gè)(一般2到4個(gè))斷點(diǎn)。軟件斷點(diǎn)是通過(guò)調(diào)試器修改被調(diào)試軟件代碼，插入異常出發(fā)指令來(lái)實(shí)現(xiàn)，可以設(shè)置無(wú)限多個(gè)斷點(diǎn)。但是由于很多惡意軟件檢測(cè)自身代碼是否被修改，來(lái)判斷調(diào)試器的存在，進(jìn)而退出運(yùn)行，令?lèi)阂廛浖o(wú)法被調(diào)試。

因此，需要一種可以解決以上問(wèn)題的基于Windows操作系統(tǒng)的軟件無(wú)限斷點(diǎn)設(shè)置方法。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問(wèn)題是：提供一種基于Windows操作系統(tǒng)的軟件無(wú)限斷點(diǎn)設(shè)置方法，能夠解決現(xiàn)有針對(duì)惡意軟件調(diào)試中可設(shè)置硬件斷點(diǎn)數(shù)量不多、軟件斷點(diǎn)設(shè)置容易被發(fā)現(xiàn)的問(wèn)題。

本發(fā)明的技術(shù)解決方案是：一種基于Windows操作系統(tǒng)的軟件無(wú)限斷點(diǎn)設(shè)置方法，包括步驟如下：

(1)在Windows操作系統(tǒng)下，通過(guò)調(diào)試器D對(duì)被調(diào)試軟件S設(shè)置若干斷點(diǎn)，若干斷點(diǎn)內(nèi)存地址值的集合為P＝{p₁，p₂，..，p_n}，調(diào)試器將集合P的各個(gè)元素所在的內(nèi)存頁(yè)的屬性通過(guò)NtProtectVirtualMemory()函數(shù)改為不可訪問(wèn)PAGE_NOACCESS，轉(zhuǎn)入步驟(2)，其中，p_i為第i個(gè)斷點(diǎn)對(duì)應(yīng)的內(nèi)存地址值，p_i、p_i對(duì)應(yīng)的內(nèi)存頁(yè)可以相同；

(2)運(yùn)行被調(diào)試軟件S，當(dāng)被調(diào)試軟件S執(zhí)行過(guò)程觸發(fā)Windows頁(yè)面錯(cuò)誤異常并執(zhí)行到Windows操作系統(tǒng)內(nèi)核的MmAccessFault()函數(shù)的入口且未開(kāi)始執(zhí)行MmAccessFault()函數(shù)時(shí)，執(zhí)行鉤子函數(shù)FuncA，轉(zhuǎn)入步驟(3)；

(3)在鉤子函數(shù)FuncA中，通過(guò)寄存器EDI獲得引發(fā)Windows頁(yè)面錯(cuò)誤異常對(duì)應(yīng)的內(nèi)存地址值a₁，然后與集合P的各個(gè)元素進(jìn)行比較，如果存在a₁＝p_i，p_i∈P，則成功觸發(fā)斷點(diǎn)p_i，通知調(diào)試器D，轉(zhuǎn)入步驟(4)；否則，未觸發(fā)斷點(diǎn)，轉(zhuǎn)入步驟(7)；

(4)通過(guò)NtProtectVirtualMemory()函數(shù)設(shè)置a₁所在的內(nèi)存頁(yè)的屬性為PAGE_READWRITE和PAGE_EXECUTE，使得該內(nèi)存頁(yè)的屬性為可讀可寫(xiě)可執(zhí)行，并將標(biāo)志寄存器的TF標(biāo)志位置為1，開(kāi)啟單步調(diào)試模式，結(jié)束鉤子函數(shù)FuncA執(zhí)行，然后繼續(xù)執(zhí)行MmAccessFault()函數(shù)，Windows操作系統(tǒng)處理完異常后，被調(diào)試軟件S繼續(xù)執(zhí)行，轉(zhuǎn)入步驟(5)；