系统断点在哪里&&如何断在TLS回调前

最新推荐文章于 2024-03-05 00:13:19 发布
最新推荐文章于 2024-03-05 00:13:19 发布
阅读量2.3k 收藏 4
点赞数 2
分类专栏: 实践 文章标签: windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/51503059
版权

系统断点

Windows

当你调试一个程序时,系统给了我们一次机会在被调试前。
ntdll.dll-LdrpDoDebuggerBreak()
如图:
LdrpDoDebuggerBreak()
通过一个int3断点来实现应用程序启动前将控制权传递给调试器。该函数一般被映射在0x771E1CC8,如果不存在调试器或者,启动应用的调试器不理睬这个断点,该函数自己的异常处理程序。
有些壳程序的反调试也是采用类似的手法,一旦壳程序的异常处理程序没有被调用,则表明有调试程序接管了壳程序埋伏的异常。

由ntdll将调用权交给主线程的位置-如何断在TLS回调前

我真心想分享自己调试的内容给你。但是不同系统位置不同。

win7专业版64bit系统32bit程序:

断在:0x77479ED0,即ntdll.dll(32bit)是一条call eax,可以断下所有模块加载前,包括TLS回调前和主程序前。位于___RtlUserThreadStart(x,x)

win7家庭版64bit系统32bit程序:

断在TLS前:
kernel32.dll;offset:3388

jne
call edx;在这里。
push eax
call

你可以通过用VS编写一个TLS回调程序,用VS断在该代码,通过栈回溯,找到是谁调用了该代码。

如何找到dll模块的调用关键点呢?

它在ntdll.dll(32bit)的如下位置:
DLL模块的调用点

掌握自己系统中的常用断点位置,调试时候少很多周折。

dalerkd
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
TLS检测断点
dianlixiong9237的博客
12-06 186
// TLS_test.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "TLS_test.h" #include <windows.h> #include <winnt.h> #pragma comment(linker, ...
教务系统之评教系统断点
seloba
08-23 172
做了将近40天的教务系统,本月20号终于告一段落。 简单总结一下:1、基本功能实现;2、查询功能有待完善;3、大数据量问题没有解决;4、统计图图标形式没有完成。 本次系统收获的很多,同时也发现自身好多不足之处,有待完善。 系统的相关文档已经完善并提高到服务器,在做系统过程中也随时记录了一些技术和思想上的认识,由于时间的问题还未整理成文。 由于本月月底还要完成一个类似评教系统的员工打分系...
TLS中检测断点调试
小驹的专栏
11-21 1万+
TLS 原理:通过检测程序入口点处的200字节内是否有下的cc断点,如果有,刚程序退出 // TLS_test.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "TLS_test.h" #include #include #pragma comment(linker, "
断点&&单步执行
qq_36308972的博客
07-19 989
软件断点 INT3指令 – 0xCC【n为3的INT指令,一般的INT指令会是0xCDn,但是INT3被优待啦_】 在调试器中对某一行设置断点时,调试器会先把这里的本来指令的第一个字节保存起来,然后写入一条INT3指令【因为INT3的长度为1个字节,所以在设置和取消断点的时候,也只需要保存和恢复一个字节】。这种替换是在启动调试时和调试过程中动态进行的。 程序运行到断点时,程序指针指向的仍是INT...
断点是什么,断点有哪几种类型?
热门推荐
ThinkStu的博客
06-30 9万+
断点是在特定点暂停程序执行的特殊标记,使用断点可以使你检查当程序状态和行为。
TLS调试VC6
04-01
TLS调试技术中,开发者会在TLS回调函数中加入检查代码,如检测调试标志(IsDebuggerPresent API),检查异常处理链(CheckRemoteDebuggerPresent API),或者查找特定的内存模式(如调试器通常会插入的断点指令...
一种基于TLS的高级反调试技术
11-18
该技术可以在程序初始化阶段,使用TLS回调函数来执行反调试操作,从而防止调试器在程序入口点插入断点命令。 知识点1:TLS技术简介 TLS(Thread Local Storage)是一种机制,由Windows提供,以解决一个进程中多个...
android实现ftp断点续传下载类,完成后自动通知调用程序
05-11
这可以通过回调函数、广播接收器或者使用现代的LiveData、ViewModel等架构组件实现。发送一个自定义意图(Intent)或者使用Android的Notification API来创建一个系统通知,让用户知道文件已准备好。 6. 注意事项: ...
Ruby-HttpClient在Ruby中提供类似libwwwperlLWP的功能
08-15
9. **异步请求**:通过回调或线程池,HttpClient可以实现非阻塞的异步请求,提高程序的并发性能。 10. **错误处理**:当发生网络错误或其他异常时,HttpClient会抛出相应的异常,方便开发者进行错误处理。 ...
c# 多线程断点续传文件传输程序
06-16
这通常通过事件驱动编程实现,如设置回调函数处理进度更新或取消请求。 8. **异常处理**:在文件传输过程中,可能会遇到各种异常,如网络中、磁盘空间不足等。良好的异常处理机制可以确保程序在出现问题时能够...
Window程序调试之常见的断点类型
最新发布
yindeyue的博客
03-05 990
windows调试断点分类及使用场景
Windbg内存泄漏问题的定位
过好每一天的女胖子
11-16 1524
文章目录1、搭建环境1.1 测试程序1.2 设置pdb路径和源码路径2、定位2.1 运行程序2.2 分析2.2.1 查看一下堆栈分配情况 1、搭建环境 1.1 测试程序 这里的测试程序是很简单的那种,凑合着用吧 #include "stdafx.h" void LeakMem() { while (true) { char *pTest = new char[512]; } } int _tmain(int argc, _TCHAR* argv[]) { LeakMem(); sys
windbg学习----初始断点
weixin_30278311的博客
10-09 202
ntdll!LdrpDoDebuggerBreak+0x2c: 7757054e cc int 3 0:000> kv ChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak...
windows用户态调试
hb_zxl的专栏
05-09 1020
windows用户态调试 打开windows的记事本小程序,windbg attach到这个进程,发现notepad不能动了,这是用户态调试的特点: 今天调试模式,应用程序所有线程都处于freeze状态。 观察一下线程状态: 会看到有6个线程。 0:006> ~* 0 Id: 1de4.1f6c Suspend: 1 Teb: 000007ff`fffdc000 Unfrozen Start: notepad!WinMainCRTStartup (00000000`ff683ac...
用WinDbg断点调试FFmpeg
u012117034的博客
06-13 673
本文主要讲解 WinDbg 调试器的使用。WinDbg在 Windows 里面的地位,就跟 GDB 在 Linux 的地位一样。可以通过 微软的官方网站 安装 WinDbg。 WinDbg 是比较轻量级的调试工具,在一些场景下比较实用,例如不方便安装 vs2019。...
调试器工作原理之二——实现断点(ptrace)
weixin_33895016的博客
08-31 1639
本文是关于调试器工作原理探究系列的第二篇。在开始阅读本文,请先确保你已经读过本系列的第一篇(基础篇)。 本文的主要内容 这里我将说明调试器中的断点机制是如何实现的。断点机制是调试器的两大主要支柱之一 ——另一个是在被调试进程的内存空间中查看变量的值。我们已经在第一篇文章中稍微涉及到了一些监视被调试进程的知识,但断点机制仍然还是个迷。阅读完本文之后,这将不再是什么秘密了。...
CefSharp 中断点 已达到中断点
荆轲刺秦王
11-29 2万+
相信cefsharp中断点问题会困扰到很多人,以下是我碰到的情况,不知大家是否和我一样。 多个项目中使用碰到cefsharp中断点 已到达报错问题!在此记录! 查看两个项目debug文件夹下面的 debug.log日志文件,发现是内存溢出造成。 产生中断点原因: 1、代码原因导致内存一直在增长!(运行一段时间报异常) 可以查看任务管理器...
断点
笔记
06-10 328
断点 断点的种类:软断点、硬件断点、内存断点断点 实现: 将目标地址、地址中的数据记录在断点列表中 将目标地址所在字节改为“CC”,即 int3中 当程序执行到断点处,发生int3中调试器将其捕获 调试器遍历断点列表,若符合某一记录,则暂停程序。 程序继续运行时,调试器根据断点列表将中处“CC”改回原代码。 特点:一些程序会在运行时计算CRC,若不符合则“自我了...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值