传统的通过patch内存AmsiScanBuffer,这个网上有很多文章,而且相对也比较简单,这里就不再解释了,但是patch这个动作势必会有一定的敏感性,比如你需要修改关键位置内存属性。本文要讲的是无需patch的方式绕过amsi。
前置知识-硬件断点
通过翻阅intel白皮书,可以知道cpu的硬件断点是基于DR0-7,总共八个调试寄存器实现的。如下图:(x64)
硬件断点的本质就是在指定内存下断点,内存可以位于代码段(函数断点)也可以是数据段(数据断点)。可以设置事件有执行、写入、读写时中断。
DR0-DR3
DR0到DR3被称为“调试地址寄存器”或“地址断点寄存器”,它们非常简单,其中仅包含断点的线性地址。当该地址与指令或数据引用匹配时,将发生中断。调试寄存器DR7可用于对每个断点的条件进行更细粒度的控制。因为寄存器需要填充线性地址,所以即使关闭分页,它们也可以正常工作。在这种情况下,线性地址将与物理地址相同。
由于这些寄存器中只有4个是可用的,因此每个线程最多只能同时具有4个断点。
总的来说这四个寄存器中就存储了要下断点的地址,但是是否有效这个要取决于DR7寄存器
DR4-DR5
DR4和DR5被称为“保留的调试寄存器”。尽管它们的名称中有“保留”字样,但实际上却不总是保留的,仍然可以使用。它们的功能取决于控制寄存器CR4中DE字段的值。在启用此位后,将启用I/O断点,如果尝试访问其中一个寄存器将会导致#UD异常。但是,如果未启用DE位时,调试寄存器DR4和DR5分别映射到DR6和DR7.这样做的目的是为了与旧版本处理器的软件相兼容。
DR6
在触发硬件断点时,调试状态存储在调试寄存器DR6中。也正因如此,该寄存器被称为“调试状态寄存器”。其中包含用于快速检查某些事件是否被触发的位。第0-3位是根据触发的硬件断点而进行设置,可以用于快速检查触发了哪个断点。
第13位称为BD,如果由于访问调试寄存器而触发当前异常,则会将其置为1。必须在DR7中启用GD位,才能触发此类异常。
第14位称为BS,如果由于单个步骤而触发当前异常,则会设置这一位。必须在EFLAGS寄存器中启用TF标志,才能触发此类异常。
第15位称为TS,如果由于当前任务切换到了启用调试陷阱标志的任务而触发了当前异常,则会设置这一位。
