逆向——进程、线程调试总结

最新推荐文章于 2022-07-30 02:07:55 发布
VIP文章 最新推荐文章于 2022-07-30 02:07:55 发布
阅读量4.1k 收藏 4
点赞数 1
分类专栏: 逆向 文章标签: 逆向 ollydbg 进程注入 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mohan90118/article/details/51296014
版权

1      进程

1.1    需要调试进程的几种情况:

1)        正常的单进程调试

2)        父进程生成子进程:

a)        创建子进程时挂起状态,然后写入代码执行

b)        执行新文件(可能是新生成的文件)

3)        进程注入

创建新进程,代码注入

代码注入系统进程

1.2    针对每种调试的具体解决方法(通用方法——>逐步细分)

1.2.1    通用方法

对于通用方法,要将调试器是否能够拿到系统的最高权限的两种情况(是/否)区别开来,尤其是在调试系统进程注入代码的过程中,对于权限问题(因为只能附加调试,权限不够就不能附加)更是要注意。

因为我通常使用win7操作系统,因此后续将以win7的32位和64位举例来说明。使用这个操作系统来举例的原因是:

(1)      具有通用性,基本不会出现程序执行环境和实际执行环境不符的情况(如果程序本身的执行环境与实际执行环境不符,就会在最开始程序加载的时候在ntdll.dll直接出现异常,使用windbg调试时这个点尤其明显)

(2)      虽然有地址随机化,但是经过我目前的经验来看,在环境不变的情况下VirtualAlloc的地址也基本不变(尤其是在样本文件加载后保存快照的情况下,每次分配的地址都是不变的;但要区分一点,进程注入的地址一般是不变的)。如果非常勤快愿意再配置一个关闭地址随机化的环境,这样也是非常好的,能够确保

最低0.47元/天 解锁文章
SinceY2015
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程核心原理
weixin_30270815的博客
04-07 4858
关于逆向工程 代码逆向工程,是逆向工程在软件领域的应用。使用RCE、RE、逆向工程等简称。 分析逆向工程的方法有静态分析法和动态分析法。 静态分析法:是在不执行代码文件情形下,对代码静态分析的方法。不执行代码,而是观察代码外部特征,获取文件类型、大小、PE头信息、导入导出API、内部字符串、是否运行时解压缩、注册信息、调试信息、数字证书等信息。使用反汇编工具查看内部代码、分析代码结构也属于静态分析。 动态分析法:程序文件执行过程中对代码进行动态分析。通过调试获得代码流,获得内存状态。通过动态分析法可以观察文
Android逆向之动态调试技术
01-19
深入介绍Android逆向原理和工具,实战实例
iOS逆向——砸壳与反编译-附件资源
03-05
iOS逆向——砸壳与反编译-附件资源
x64dbg_jb51.rar
12-02
开源 直观,熟悉,全新的用户界面 类似C的表达式解析器 DLL和EXE文件的全功能调试(TitanEngine) 具有跳跃箭头的IDA侧边栏 类似IDA的指令令牌荧光笔(突出显示寄存器等) 记忆地图 符号视图 线程视图 源代码视图 内容敏感的寄存器视图 完全可定制的配色方案 动态识别模块和字符串 导入重建器集成(Scylla) 快速反汇编(Zydis) 用户数据库(JSON),用于评论,标签,书签等。 增加API的插件支持 用于自动化的可扩展,可调试的脚本语言 多数据类型内存转储 基本调试符号(PDB)支持 动态堆栈视图 内置汇编程序(XEDParse / asmjit) 可执行的修补程序 Yara模式匹配 反编译器(雪人) 分析
安卓逆向分析用到的调试工具
03-19
搜集的安卓逆向分析用到的调试工具,收录了在逆向过程中会使用的调试工具,工欲善其事必先利其器,好的工具在逆向破解工程中起到事半功倍的作用,包含dnSpy32和64w位版本,ddms,cerpro等常用调试
Ollydbg动态监听
01-25
启动 您可以采用命令行的形式指定可执行文件、也可以从菜单中选择,或直接拖放到OllyDbg中,或者重新启动上一个被调试程序,或是挂接[Attach]一个正在运行的程序。OllyDbg支持即时调试,根本不需要安装,可直接在软盘中运行! 线程 OllyDbg可以调试线程程序。因此您可以在多个线程之间转换,挂起、恢复、终止线程或是改变线程优先级。并且线程窗口将会显示每个线程的错误(就像调用 GETLASTERROR 返回一样)。 调试DLLs 您可以利用OllyDbg调试标准动态链接库(DLLs)。OllyDbg 会自动运行一个可执行程序。这个程序会加载链接库,并允许您调用链接库的输出函数。 源码级调试 OllyDbg可以识别所有 Borland 和 Microsoft 格式的调试信息。这些信息包括源代码、函数名、标签、全局变量、静态变量。有限度的支持动态(栈)变量和结构。 代码高亮 OllyDbg的反汇编器可以高亮不同类型的指令(如:跳转、条件跳转、入栈、出栈、调用、返回、特殊的或是无效的指令)和不同的操作数(常规[general]、FPU/SSE、段/系统寄存器、在栈或内存中的操作数,常量)。您可以定制个性化高亮方案。 名称 OllyDbg可以根据 Borland 和 Microsoft 格式的调试信息,显示输入/输出符号及名称。Object 扫描器可以识别库函数。其中的名称和注释您可任意添加。如果DLL中的某些函数是通过索引号输出的,则您可通过挂接输入库[import library]来恢复原来的函数名称。不仅如此,OllyDbg还能识别大量的常量符号名(如:窗口消息、错误代码、位域[bit fields]…)并能够解码为已知的函数调用。 已知函数 OllyDbg可以识别 2300 多个C 和Windows API 中的常用函数及其使用的参数。您可以添加描述信息、预定义解码。您还可以在已知函数设定 Log断点并可以对参数进行记录。 函数调用 OllyDbg可以在没有调试信息或函数过程使用非标准的开始部分[prolog]和结尾部分[epilog]的情况下,对递归调用进行回溯。 配置 有多达百余个选项用来设置OllyDbg 的外观和运行。 数据格式:OllyDbg 的数据窗口能够显示的所有数据格式:HEX、ASCⅡ、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编(MASM、IDEAL或是HLA)、PE文件头或线程数据块。 运行环境 OllyDbg可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP(未经完全测试)操作系统中工作,但我们强烈建议您采用300-MHz以上的奔腾处理器以达到最佳效果。还有,OllyDbg 是极占内存的,因此如果您需要使用诸如追踪调试[Trace]之类的扩展功能话,建议您最好使用128MB以上的内存。 支持的处理器 OllyDbg 支持所有 80x86、奔腾、MMX、3DNOW!、Athlon扩展指令集、SSE指令集以及相关的数据格式,但是不支持SSE2指令集。
滴水逆向进程线程
若面朝大海边竹妮春暖花开的博客
11-06 1133
一、进程结构体 EPROCESS是0环进程结构体,PEB是三环进程结构体 EPROCESS的第一个成员为KPROCESS WaitForSingleObject可以等待对象、进程线程,只要0环对象以DISPATCH_HEADER开头称为可等待对象 DirectoryTableBase为页目录表基址,是要填到Cr3中的值 windbg中dd PsActiveProcessHead查看链...
windows多线程没那么难
vpoet
06-25 2269
windows多线程没那么难 作者:vpoet mail:[email protected] 上一博文中我们引入了CreateThread()多线程编程一个简单的例子,事实上我说windows 多线程没那么难,那是为了安慰你,但是不要怕,困难时让人克服的。再大的困难也难不 倒英雄的中国程序员。 下面我又要介绍一个多线程的问题: 我们首先看一个Demo,经典
linux进程跑飞了,Linux程序逆向小窥
weixin_29779159的博客
04-30 257
一直在研究逆向,可是从来没有接触过Linux程序的逆向,这两天做CTF遇到了一道Linux的程序,作为一个契机,我也算是踏上了Linux程序的逆向道路。1.静态分析题目来源:http://daka.whaledu.com:9999/challenges#入门语言这个程序是运行在Linux-64环境下的。分析的第一步自然是拖进IDA,程序很简单,没有加壳,main()函数也成功识别出来了:图片1.p...
64位CreateProcess逆向:(二)0环下参数的整合即创建进程的整体流程
07-04 598
转载:https://bbs.pediy.com/thread-207683.htm 点击下面进入总目录: 64位Windows创建64位进程逆向分析(总目录) 在上一篇文章中,我们介绍了CreateProcess在3环的整个流程。在其中特别提到,当操作系统由3环切换到0环,是由NtCreateUserProcess完成所有关键工作的。 在这篇文章中,我们将会...
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 541
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
createDebug_内核逆向_自建调试体系_
10-01
自建调试体系
【Android 逆向】Android 进程注入工具开发 ( Visual Studio 开发 Android NDK 应用 | VS 自带的 Android 平台应用创建与配置 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-01 1556
一、Visual Studio 安装 " 使用 C++ 的移动开发 "、 二、Visual Studio 中创建 " 动态共享库(Android) " 类型应用、 三、设置编译选项、 四、生成 ARM 架构 SO 动态库、 五、生成 x86 架构 SO 动态库、
进程、加壳、自修改程序逆向步骤(shm_re程序为例)
qq_42843654的博客
05-29 709
进程、加壳、自修改程序gdb调试方法与逆向步骤(shm_re程序为例) shm_re程序下载地址:链接:https://pan.baidu.com/s/17eoqoutWcoM-9B03Y2iLWg 提取码:ivqk gdb调试进程 1.gdb调试 常用命令 list/l 行号:显示binFile源代码,接着上次的位置往下列,每次列10行。 list/l 函数名:列出某个函数的源代码。 r或...
android逆向笔记(10) ——IDA动态调试so
PaladinV的逆向学习之路
02-14 6932
文章目录0x00 序言0x01 启动 IDA Server选择android_server版本指定端口运行android_server0x02 开始调试载入目标so(先dump再载入)Attach目标进程 0x00 序言 本文主要作为脑残的我记录一下IDA调试so的各种命令,因为老是忘记!没有任何干货,大家可以撤了!毫无技术含量! 0x01 启动 IDA Server 选择android_server版本 1. 在真机调试so中,根据应用程序的运行情况选择android_server 或 android_s
idea开启多线程调试模式
qq_28940607的博客
04-23 6178
在一些开发场景中,需要开启多线程调试模式,基于idea,代码如下 ​ package com.example.demo0423.singleton; public class Task1 implements Runnable { @Override public void run() { System.out.println("1"); System.out.println("1"); System.out.println(...
spring java图片上传源码.rar
最新发布
04-26
源码实现了图片上传功能,可供相关功能开发的小伙伴参考学习使用。
逆向 adb连接真机调试
09-09
逆向ADB连接真机调试是指使用ADB工具来与真机进行连接并进行逆向工程和调试的过程。ADB(Android Debug Bridge)是Android开发工具包中的一个命令行工具,它可以用于与连接的Android设备进行通信和调试。通过ADB,开发人员可以执行各种操作,如安装和卸载应用程序、传输文件、查看日志等。为了逆向ADB连接真机调试,首先需要确保安装了ADB工具,并且设备已经连接到电脑上。 下面是逆向ADB连接真机调试的步骤: 1. 首先,确保你的设备已经连接到电脑上,并且USB调试模式已经启用。你可以在设备的设置中找到USB调试选项,并将其打开。 2. 打开终端或命令提示符,并进入ADB的安装目录。在终端中输入"cd [路径]"命令,将路径替换为你的ADB安装目录的路径。例如,如果你的ADB安装目录在"/Users/chenda/Documents/Development/sdk/platform-tools",则输入"cd /Users/chenda/Documents/Development/sdk/platform-tools"。 3. 确认设备已经成功连接到电脑上。在终端中输入"adb devices"命令,如果设备已经成功连接,你将看到设备的序列号和状态。 4. 如果设备连接成功,你可以开始进行逆向工程和调试了。你可以使用ADB工具执行各种操作,如安装应用程序、传输文件、查看日志等。例如,你可以使用"adb install [应用程序.apk]"命令来安装应用程序,使用"adb logcat"命令来查看设备的日志信息。 逆向ADB连接真机调试可以帮助开发人员进行应用程序的分析和调试,以便更好地了解应用程序的运行和行为。同时,它也是进行逆向工程和安全研究的重要工具之一。通过使用ADB工具,开发人员可以有效地与连接的Android设备进行通信和调试,提高开发和调试的效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值