TraceMe---消息断点+Run跟踪

最新推荐文章于 2021-11-25 11:27:21 发布
最新推荐文章于 2021-11-25 11:27:21 发布
阅读量919 收藏
点赞数
分类专栏: 漏洞分析 文章标签: button resources c command thread header
  • 标 题:TraceMe---消息断点+Run跟踪
  • 作 者:Gall
  • 时 间:2010-08-05 21:19:49
  • 链 接:http://bbs.pediy.com/showthread.php?t=118039

     

    【文章作者】: Gall
    【作者主页】: http://hi.baidu.com/8ohack
    【操作平台】: WindowsXP
    【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
    --------------------------------------------------------------------------------
    【详细过程】
      很多新手朋友在这个问题上疑惑重重,今天以TraceMe.exe【加密与解密 第三版---调试片】为例说明一下消息断点+Run跟踪的使用.
      如果大家不知道消息机制的话,建议好好看看【罗云彬版Win32汇编】,当你熟练掌握里面提到的窗口编程时,消息机制的学习就没甚问题了!
     
      ollydbg载入TraceMe.exe,F9运行程序,输入下面的信息.但是不要点那个"Check"按钮.
      【用户名】:Gall_pediy
      【序列号】:123456
     
     
    【第一部分:消息断点的设置】
      1.选择View>>Windows,右键选择Actualize,显示下面的信息
      Windows
      Handle         Title                             Parent     WinProc    ID         Style      ExtStyle   Thread     ClsProc    Class
    0010028C TraceMe 动态分析技术 Topmost 021D00C5 94CE0844 00010100 Main 77D3E577 #32770
      K00090264      Default IME                       0010028C                         8C000000              Main       77D6C930   IME
      IE001201F6     M                                 00090264                         8C000000              Main       FFFF02E3   MSCTFIME UI
      K000B028A                                        0010028C              FFFFFFFF   50000007   00000004   Main       77D3B036   Button
      K000C027E      Exit                              0010028C              000003EA   50010000   00020004   Main       77D3B036   Button
      K000E01FA      ?                                 0010028C              000003F6   50010000   00020004   Main       77D3B036   Button
      K000E01FC      www.PEDIY.com                     0010028C              000003F8   58020001   00000004   Main       77D3E5BB   Static
      K000E0238                                        0010028C              000003E8   50030080   00000204   Main       77D3B3EC   Edit
      K000E0278                                        0010028C              0000006E   50030080   00000204   Main       77D3B3EC   Edit
      K0015023C      Check                             0010028C              000003F5   50010000   00020004   Main       77D3B036   Button
      K001B0234      序列号:                              0010028C              FFFFFFFF   50000007   00000004   Main       77D3B036   Button
      E001D026E      用户名:                              0010028C              FFFFFFFF   50000007   00000004   Main       77D3B036   Button
     
      我们这里的消息断点对象就是Check按钮,
      在Check处右键,选择Message breakpoint on ClassProc,在出现的新窗口中选择消息"202 WM_LBUTTONUP",意思就是对Check按钮下断点,当按下按钮,然后松开时,就被断下来.
     
      到此为止,消息断点的设置完成了,
      这个时候我们可以点击那个Check按钮.在下面的位置被断下来.
     
      77D3B036 >  8BFF            mov     edi, edi                         ; 在此处被断下
      77D3B038    55              push    ebp
      77D3B039    8BEC            mov     ebp, esp
      77D3B03B    8B4D 08         mov     ecx, dword ptr [ebp+8]
     
     
      2.返回到程序的领空
      然后选择View>>Memory,程序的关键信息如下:
      003F0000   0000E000                                       Map    RW        RW
      00400000   00001000   TraceMe               PE header     Imag   R         RWE
      00401000   00003000   TraceMe    .text      code          Imag   R         RWE
      00404000   00001000   TraceMe    .rdata     imports       Imag   R         RWE
      00405000   00001000   TraceMe    .data      data          Imag   R         RWE
      00406000   00001000   TraceMe    .rsrc      resources     Imag   R         RWE
     
      我们在00401000处设置断点,设置完断点后F9运行程序,程序庭在下面的位置
      004010D0   .  81EC F4000000 sub     esp, 0F4                         ;  程序停在这里【返回到程序领空是的位置】
      004010D6   .  56            push    esi
      004010D7   .  57            push    edi
      004010D8   .  B9 05000000   mov     ecx, 5
      004010DD   .  BE 60504000   mov     esi, 00405060
      004010E2   .  8D7C24 18     lea     edi, dword ptr [esp+18]
     
      接下来就是Run跟踪
     
     
     
      【第二部分:Run跟踪】
      1》分析代码
     
      接着上面的操作,程序此时停在004010D0这里,在Run跟踪钱,我们需要分析一下代码,快捷键是Ctrl+A【很多朋友无法Run跟踪,问题就在这里】
      -------------------------------------------------------------------------------
     
     
      2》 Run跟踪的大小设置
     
      选择Options>>Trace,设置大小为1M/45K
      其他的选项根据自己的要求设置.【按照自己的要求设置】
      -------------------------------------------------------------------------------
      
      3》 开始Run跟踪
      1.选择Debug>>Open or clear run trace,
      2.然后在004010D0右键,选择Run trace>>Add entries of all procudures
      3.F9运行程序,然后点击View>>Run trace查看跟踪记录,
      4.在记录处右键Profile module
     
      Profile of TraceMe
      Count      Address    First command                     Comment
      1.         004010D0   sub     esp, 0F4
      1.         00401340   push    ebp
      1.         00401360   xor     edx, edx
     
      双击00401360将来到关键位置.其他的分析打击自己完成吧
      ------------------------------------------------------------------------------
     
    --------------------------------------------------------------------------------
    【经验总结】
      消息断点+RUN跟踪
      【思路】
                1. 按钮按下后,系统会处理对应的消息WM_LBUTTONUP,这个时候被断下,程序挺在系统领空
                2  系统领空返回到程序领空,在刚进入程序领空时停下
                3  从程序领空停下的位置,开始记录
                4  分析记录,得到关键信息

`北极星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OllyDBG 入门系列(五)-消息断点RUN 跟踪
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
消息断点 RUN跟踪
weixin_30240349的博客
11-25 69
学习与 看雪上 看雪上比较详细 但在另一地方也看到 : http://hi.baidu.com/xx375/item/8e86710d41b3a63e4bc4a36e http://hi.baidu.com/xx375/item/f7b3f331edb396413175a16e 转...
OllyDBG 入门系统(六) - 消息断点RUN跟踪补充
Jackxin Xu IT技术专栏
06-06 4224
<br />看完了《OllyDBG 入门系统(五)-消息断点及 RUN 跟踪》之后感觉如何?会否有如下问题:<br />1、  是否觉得不知道在哪下断?<br />2、  为什么要这样子下断?<br />3、  如何确定断下来后的位置就是正确的?<br /><br />好,就本着这几个问题来分析一遍。<br /><br />首先,先回顾下Windows的消息机制。要:所有要处理的消息必然会由程序自己处理,不处理的消息都交由Windows处理。Windows的消息处理函数的格式,如下:<br />LRESU
od粗跟踪run跟踪
期待下集是个可爱梦儿
03-11 1687
<br />一、单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去"<br />单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用!<br />执行到返回(ALT+F9)就是执行到该子程的返回语句!<br />单步执行与自动执行[Step-by-stepexecutionandanimation]<br />您可以通过按F7(单步步入)或F8(单步步过),对程序进行单步调试。这两个单步执行操作的主要区别在于:如果当前的命令是一个子函数,按F7,将会进入子函数,并停在子函数的
CVE-2019-13272 exp
09-02
事实PTRACE_TRACEME证明,除了父进程之外,内核还记录了跟踪器的凭据。研究人员概述的方案涉及一个父进程,该进程创建一个子进程,这个子进程会创建子进程。第一个子进程使用命令pkexec(用于以root身份运行程序),...
TraceMe.exe
02-15
《加密与解密》中TraceMe.exe文件下载,OllyDbg课程破解文件下载
TraceMe.rar,TraceMe.exe
02-07
TraceMe.rar,TraceMe.exe,小甲鱼教程中的例子程序TraceMe.rar,TraceMe.exe,小甲鱼教程中的例子程序
Linux ‘PTRACE_TRACEME’提权漏洞(CVE-2019-13272)分析 .pdf
09-05
Linux中的`PTRACE_TRACEME`是一个系统调用,允许一个进程(tracer)调试另一个进程(tracee)。在分析的`CVE-2019-13272`漏洞中,`PTRACE_TRACEME`被滥用,导致了一个权限提升的问题。此漏洞主要与Linux内核中的...
Ollydbg hit跟踪Run 跟踪
kendyhj9999的专栏
06-18 2716
Ollydbg hit跟踪   【添加择部分】项 就是用鼠标框一段代码,运行程序后,在被中的代码中,运行过的会被标记成红色   【添加函数过程】项 就是鼠标光标落在其中的那个函数的代码会被中,在被中的代码中,运行过的会被标记成红色。   【添加所有已识别函数过程】项  就是所有识别的函数的代码会被中,在被中的代码中,运行过的会被标记     Ol
逆向分析基础 OllyDBG 入门系列(五)-消息断点RUN 跟踪
05-09
逆向分析基础 OllyDBG 入门系列(五)-消息断点RUN 跟踪
OD hit跟踪 run跟踪使用问题
04-27 180
刚学习OD不久,现在使用HIT跟踪run跟踪功能,在我的程序里碰到问题,还请赐教了一部分代码添加到HIT跟踪,在的代码处设置断点,程序运行到断点,按单步跟踪,当执行到第二个PUSH时,程序就退出。我换了个自己写的简单程序,也有这个问题,是不是我的OD设置有问题?还是程序问题问题?设置HIT跟踪的代码:执行第二个push时,转到下面代码处:最后程序退出: 解决办法 ...
动态追踪技术(三):trace your kernel functions!
weixin_33860553的博客
05-31 378
2019独角兽企业重金招聘Python工程师标准>>> ...
Android筆記-Linux Kernel Ftrace (Function Trace)解析(非常强悍的性能分析方法)
pointfish的专栏
08-05 6840
http://www.cnblogs.com/leaven/archive/2011/12/22/2298352.html Android筆記-Linux Kernel Ftrace (Function Trace)解析 hlchou@mail2000.com.tw by loda 在軟體開發時,通常都會面臨到系統效能調教的需求,我們希望知道哪些區塊的程式碼或函式被執行
OD的hit跟踪run跟踪
liujiayu2的专栏
02-24 6551
在OD的CPU窗里和查看菜单和调试菜单里面都可以看到相应的菜单,谈谈这些功能是干什么的。   1.hit跟踪是记录汇编指令运行脚印的,一个子程序可能会有很多跳转,这些跳转在程序实际运行中哪些跳转跳了哪些跳转没跳,哪些指令执行了哪些指令没执行呢?hit跟踪就是记录这个的。想看哪些代码是否执行,中代码,右键“添加择部分”,如果想检测一整个子程序可在该子程序任意位置右键菜单,击“添
OD消息断点的设置方法
weixin_34056162的博客
11-22 1353
为什么80%的码农都做不了架构师?>>> ...
软件安全 实验 2 软件动态、静态分析技术 TraceMe.exe OllyDbg IDA
SKPrimin的博客
11-25 3623
实验 2 软件动态、静态分析技术 练习 1 动态调试技术 1、实验说明 动态分析是在可控环境中运行程序或者模拟程序的执行过程,同时利用分 析工具,监控程序的所有操作,观察其执行流程和状态,获取执行过程中的各 种数据。调试则是一种最为重要的动态分析技术,能够获取程序的真实行为, 以及指令执行过程中各个操作数的具体值。 2、实验目的 本实验使用 OllyDbg 调试器, 分析简单注册程序(TraceMe.exe),获得正 确的序列号或者修改程序逻辑, 以此学习调试 Win32 应用程序的相关技术。 3、
CVE-2019-13272
最新发布
08-23
CVE-2019-13272是一个Linux内核漏洞,该漏洞存在于ptrace_link函数中。这个函数在Linux执行PTRACE_TRACEME函数时,会获得对父进程凭据的RCU引用,并将该引用指向get_cred函数。然而,由于struct cred对象的生存周期规则,不允许无条件地将RCU引用转换为稳定引用。这个漏洞可以被利用来以特权身份执行恶意代码或提升权限。 关于该漏洞的更多详细信息和修复情况,请参考以下链接: <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Linux本地内核提权漏洞复现(CVE-2019-13272)](https://blog.csdn.net/m0_48520508/article/details/112799843)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2019-13272Linux本地内核提权](https://blog.csdn.net/fageweiketang/article/details/103482899)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值