OD调试器断点——内存断点

最新推荐文章于 2021-05-24 21:16:07 发布
最新推荐文章于 2021-05-24 21:16:07 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: # 调试器 文章标签: 动态调试 OD OllyDbg 断点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/115587887
版权

在这里插入图片描述我们选择Whole line拷贝整行,Whole Table可以拷贝整个列表的断点信息。

Breakpoints, item 0
 Address=00401018
 Module=CRACKME
 Active=Always
 Disassembly=OR EAX,EAX

拷贝下来的信息显示了断点的地址,对应的指令以及激活状态。

程序中断在断点处会在状态栏显示暂停状态。

在这里插入图片描述

暂停的原因如下:
在这里插入图片描述
接下来我们来了解一下当设置一个断点以后,OD调试器在底层二进制代码是如何将程序中断的,会发生什么变化。
单击鼠标右键选择-Follow in Dump-Selection
在这里插入图片描述

我们看看数据窗口中401018地址处的内容:

在这里插入图片描述

我们初看一下数据窗口中的内容和反汇编代码中代码是一样的:
在这里插入图片描述

数据窗口和反汇编代码中我们看到的都是0B C0,对应的是OR EAX,EAX。似乎代码没有什么变化,但是真的没有变化吗?

我们保留401018处的断点,重新加载CrackMe。
在这里插入图片描述

我们将OR EAX,EAX对应的机器代码读取出来然后写到别处。
在这里插入图片描述

该指令将401018地址处的双字值保存到EAX中,我们看看OD的提示框中提示的信息。
在这里插入图片描述

在数据窗口中和提示框中显示的都是相同的内容:0B C0。但是,我们按下F7键看看EAX显示的内容。
在这里插入图片描述

读出来的401018处的内容并不是OD刚刚显示的0B C0 74 01(小端存储),按双字取出来是0174C00B,而现在显示的是0174C0CC,因此401018处字节值是CC。当我们设置断点后,OD会将对应指令处第一个字节指令替换成CC。但是为了不影响界面显示效果,OD会将CC显示为原字节。但是,我们可以在内存单元中读取出其真实的内容,并且可以在反调试中用此方法来检测断点。所以,我们设置的断点有时候莫名其妙的消失了不要感到奇怪,或许说这是调试器的本身的弱点吧。

除了F2设置断点以外,我们还可以通过命令栏来设置断点,如下:

BP 401018

在这里插入图片描述

在NT(2000,XP和2003)系统中我们也可以很容易的给API函数设置断点-我们前面章节中已经介绍过了。要给MessageBoxA设置断点,请输入:
在这里插入图片描述

并且你必须指定API函数的确切名称,而且大小写敏感。
在这里插入图片描述

还有一个比BP更加强大的命令BPX可以给引用或者调用了指定API函数的指令都下断点。

下面是BPX给MessageBoxA设置的断点列表。正如你所看到的,OD找到了3处地方调用MessageBoxA,并设置了3个断点。
在这里插入图片描述

还有一种设置断点的方法:在反汇编窗口中你想设置断点的那一行双击机器码即可。如果想删除的话,再双击一次即可。
在这里插入图片描述

大灬白
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD内存断点初步分析
BenChang的专栏
04-26 5087
通过ida静态分析和od动态分析od程序,初步了解内存断点的机制
OD内存断点
dasgk的专栏
07-05 1403
内存断点原理:OD会对所设置地址设置为不可访问或者不可写属性,这样挡程序试图访问或者写入时就会产生异常,OD在截获这种异常后比较地址是否是设置的断点地址,这种 方式会对程序的运行速度有很大的影响,所以只允许设置一个内存断点,但是在找到内存断点后可以使用一般的断点(这个是可以设置无数个的)进行调试内存断点一般用在跟踪关键数据的断点,根据这个特点在破解跟踪时只要在关键数据内存当中下断点,就可以
[转]对抗OD内存断点
weixin_34295316的博客
05-03 106
标 题:【原创】对抗OD内存断点作 者:堕落天才时 间:2007-09-28,21:08:51链 接:http://bbs.pediy.com/showthread.php?t=52503 1,OD内存断点原理A,内存访问断点OD将目标内存所在的页面(范围圆整为1000h的倍数)设置为PAGE_NOACCESS,当被调试程序对这个内存进行任何“读、写或运行”操...
OD 内存断点和硬件断点 小结
期待下集是个可爱梦儿
02-23 1862
0040EE67      90                 nop                              //假设此处为EIP 0040EE68      90                 nop0040EE69      90                 nop0040EE6A      A0 C4FF1200        mov     al, byte ptr [12FFC4]0040EE6F      90                 nop0040EE70
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
OD的几个断点
longfan的博客
08-08 523
OD从原理上来说,有两种不同的断点,软件断点,硬件断点内存断点是一种特殊的内存断点内存断点呢,每次只能设置一个,假如你设置一个断点,则上一个会自动被删除。设置一个内存断点,会改变整块(4K,1K=1024字节)内存的属性,哪怕你只设置一个字节的内存断点内存断点还会降低OD的性能,因为OD会校对内存。 软件断点:当我们F2的断点, 该断点是在断点出重写代码,插入int3中断指令...
OD调试器源码
09-18
OD调试器源码是调试工具领域的一个重要话题,尤其对于软件开发者和逆向工程师来说,理解并学习ODOllyDbg调试器的源码能够深入掌握底层调试技术,提高解决问题的能力。OllyDbg是一款流行的x86汇编级别的调试器,...
大神写的OD调试器成品
09-18
OD调试器,全称OllyDbg,是Windows平台下的一款知名反汇编调试器,由Pavel Yosifovich开发。它以其强大的调试功能、直观的用户界面以及对汇编语言的良好支持,在逆向工程和软件调试领域享有盛誉。"大神写的OD调试器...
2.VT调试器之无限硬件断点.rar
10-20
无限硬件断点的功能实现可能依赖于调试器的底层技术,包括对硬件接口的深入理解和优化的内存管理策略。它可能涉及到对调试器内核的扩展,以及与CPU的调试接口(如Intel的DBI,Debugging Extensions)的紧密交互。...
5.为什么用VT调试器来代替OD调试器1.rar
10-20
为什么用VT调试器来代替OD调试器1.rar"这个压缩包文件的主题聚焦于使用VT(可能是指Visual Studio或Vtune等高级调试器)来替代ODOllyDbg调试器OD是经典的反汇编和调试工具,而VT则是更为现代化和功能强大的...
OllyDBG 入门系列(四)-内存断点
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
浅析Visual Studio Code断点调试Vue
01-19
这篇文章将介绍如何配置 Visual Studio Code 和 Chrome 来完成直接在 VS Code 断点调试代码, 并且在VS Code的调试窗口看到Chrome中console相同的值。 设置 Chrome 远程调试端口 首先我们需要在远程调试打开的状态下...
od的各种断点
zzx的博客
01-25 1314
od中有许多断点,cc断点,硬件断点内存断点,消息断点。 最常用的是cc断点,也就是f2设置的断点,这种断点的好处是可以直接看到所设断点的位置,通过alt+b来查看,非常方便调试,他的原理是od将原本的数据改为cc,然后在运行的过程中,遇到cc即停止,然后修改为原来的数据,这种断点的缺陷是可以被检测到。 硬件断点,硬件断点的原理是由cpu实现的,cpu中有四个寄存器,这四个寄存器刚好对应od
OD断点设置
LDWJ2016的博客
09-25 4657
OD 常用的断点有: INT3断点,硬件断点内存断点,消息断点,条件断点。 一. INT3断点      1. 在CPU窗口,按F2 或 双击 “ Hex dump”列设置一个INT3断点,再次按F2或双击 “Hex dump”则取消已经设置的 INT3断点。       说明:如果将断点设置到当前应用程序代码之外,OD会弹出警告,可在“Options/Debuggging options/...
全面解析OD各类断点
lambda
04-27 3736
1 INT 3断点 当执行一个INT3断点时,该地址处的内容被调试器用INT 3指令替换了(但是OD隐藏了这个替换,不让我们看到),因其机器码是0xCC,也称为“CC断点”。程序执行到INT 3指令时会导致一个异常,OD捕获这个异常,停在断点处,并将断点处的指令恢复为原来的指令。“F2”或bp设置的就是这种断点。 特点:会断在该指令执行前。 优点:可以设置无数个这样的断点。 缺点:改变了原程序机器码,可能被程序校验导致下断后程序退出。 2 硬件断点 使用DR0-DR3调试寄存器设定断点地址,DR4和DR
od结构体大小_od内存断点的探析和检测方法
weixin_39756895的博客
12-21 222
作为一款流行的动态OD 的成功离不开断点。可以说,断点成就了 OD,不难想象,如果在调试过程中,下的断点全部失效了,那么 OD 就武功全废了。在前面的文章里,我曾介绍 OD有三大断点:int3断点、硬件断点内存断点。关于前面两种断点,我已经写过检测方法,今天就来分析一下,内存断点的检测方法。要检测,首先,我们要了解内存断点的原理。知己知彼才能百战百胜,所以,我们还是从逆向 OD着手。OD通过调...
OD调试常见断点及原理(浓缩版)
weixin_44155363的博客
05-31 3019
OD调试时,常见的断点有int3、硬件断点内存断点、消息断点、条件断点、条件记录断点等; 1、int 3断点 原理:改变断点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性 FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); Mark =
[调试器的设计]第二章 内存断点
dog0230的博客
05-10 199
关于内存断点的设计与实现 第二章内存断点9 2.1问题的提出与分析9 2.1.1问题提出9 2.2问题的解决9 2.2.1内断断点内存分页的关系9 同时附件为调试器的可执行程序(修复了一些小bug) 第一章节与第二章节的内容 以及pe解析部分的动态邻接表的源代码(我的代码写得很恶心,看的话做好心理准备,哈哈) 多谢张文君(金山毒霸)...
OD调试器断点——条件断点
Onlyone_1314的博客
05-24 2765
文章目录条件断点条件记录断点 条件断点 条件断点实际上就是普通的CC断点,只不过该断点的触发需要满足设置的条件,如果满足设置的条件,那么程序就会中断下来,如果不满足条件的话,就和没有设置CC断点差不多。 我们来看一个例子: 重启OD并清除我们之前设置的所有硬件断点,我们在40100E处设置一个条件断点,在40100E处单击鼠标右键选择-Breakpoint-Conditional。 就会弹出设置条件的窗口。 举个例子,如果你想当前EAX等于400000的时候,程序中断下来,那么条件应该写成:“EAX
VS2022中调试DLL 断点无法进入
最新发布
07-12
如果您在 Visual Studio 2022 中调试 DLL 时发现断点无法进入,请确保您已经进行了以下步骤: 1. 确保 DLL 项目已经以调试模式进行构建。在解决方案资源管理器中,右键单击 DLL 项目,选择 "属性"。在属性页中,选择 "配置属性" -> "常规",确保 "配置类型" 设置为 "动态库(.dll)",并且 "调试信息格式" 设置为 "调试"。 2. 确保您的应用程序正确加载了 DLL。在 Visual Studio 中,您可以通过在 "调试" 菜单中选择 "附加到进程" 来手动附加到正在运行的应用程序。选择您的应用程序进程,并点击 "附加" 按钮。 3. 确保您设置了正确的断点。在 DLL 项目的代码中,单击行号旁边空白处设置断点。确保您设置的断点是在实际会执行的代码行上。 4. 如果您的 DLL 是由另一个应用程序加载的,而不是直接运行的,那么请确保您在正确的环境下进行调试。有些应用程序可能会以不同的用户权限或沙盒环境运行,这可能会导致断点无法进入。您可以尝试以管理员权限运行 Visual Studio 或目标应用程序,或者将目标应用程序的启动路径设置为可访问的路径。 5. 确保您的代码没有被优化。在 Visual Studio 中,您可以在 DLL 项目的属性页中的 "配置属性" -> "C/C++" -> "优化" 下,将 "优化" 选项设置为 "无(/Od)",以确保代码没有被优化,从而使断点能够进入。 如果您仍然遇到断点无法进入的问题,建议检查您的代码和项目配置是否正确,并尝试重启 Visual Studio 和目标应用程序。有时候,重新构建项目和清理解决方案也有助于解决此类问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值