Ollydbg和x96dbg开发插件及VS调试踩的坑

已于 2024-03-30 09:03:45 修改
阅读量640 收藏 9
点赞数 4
分类专栏: 逆向工程 文章标签: 插件开发 逆向工程
于 2024-03-30 09:03:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/137163583
版权

插件编写实战

我们要做一个类似于SharpOD的插件,来帮我们能够调试异常处理函数

也就是我们要写一个Dll进行API Hook

把之前说的跳转改掉

OD的SDK帮我们写好了修改被调试进程的内存修改函数,也就是这里:

Writememory

那时候调用这个函数呢? 以下是插件的回调函数:

利用这个帮助文档,代码示例如下:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include "Plugin.h"
#pragma comment(lib,"OLLYDBG.LIB")


extc int _export cdecl ODBG_Plugindata(char* shortname)
{
    strcpy_s(shortname, 31, "my_od_plugin");
    return PLUGIN_VERSION;
}


extc int _export cdecl ODBG_Plugininit(
    int ollydbgversion,
    HWND hw,
    unsigned long* features) 
{
    return 0;
}

extc int ODBG_Paused cdecl(int reason, t_reg* reg)
{
    //拿一下函数在内存的句柄
    HMODULE hKernel = GetModuleHandle("Kernelbase.dll");
    BYTE* Addr = (BYTE*)GetProcAddress(hKernel, "UnhandledExceptionFilter");
    
    //定位偏移
    Addr += 0xA9;


    char m_byte = 0x84;
    Writememory((void*)&m_byte, (ulong)Addr, 1, MM_SILENT);
    return 0;
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

同理,我们开发下X96dbg的:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include "plugin.h"



#include <Windows.h>
#include <process.h>

int pluginHandle;
HWND hwndDlg;
int hMenu;
int hMenuDisasm;
int hMenuDump;
int hMenuStack;

// 导出函数
extern "C" __declspec(dllexport) void CBMENUENTRY(CBTYPE cbType, PLUG_CB_MENUENTRY * info);
extern "C" __declspec(dllexport) void plugsetup(PLUG_SETUPSTRUCT * setupStruct);
extern "C" __declspec(dllexport) bool pluginit(PLUG_INITSTRUCT * initStruct);
extern  "C"  __declspec (dllexport)  void  CBINITDEBUG(CBTYPE  cbType, PLUG_CB_INITDEBUG * info);
extern  "C"  __declspec (dllexport)  void  CBSTOPDEBUG(CBTYPE  cbType, PLUG_CB_STOPDEBUG * info);
extern  "C"  __declspec (dllexport)  void  CBEXCEPTION(CBTYPE  cbType, PLUG_CB_EXCEPTION * info);
extern  "C"  __declspec (dllexport)  void  CBDEBUGEVENT(CBTYPE  cbType, PLUG_CB_DEBUGEVENT * info);



// 在这里初始化插件数据。
bool pluginInit(PLUG_INITSTRUCT* initStruct)
{
    // 返回false以取消加载插件。
    return true;
}

// 在此处取消初始化插件数据。
void pluginStop()
{
}

// 在这里做GUI/菜单相关的事情。
void pluginSetup()
{
}

// 菜单被点击回调
void CBMENUENTRY(CBTYPE cbType, PLUG_CB_MENUENTRY* info)
{
    // 此菜单用于实现功能,并测试
    MessageBox(0, "hello lyshark", 0, 0);
}

PLUG_EXPORT bool pluginit(PLUG_INITSTRUCT* initStruct)
{


    // 插件初始化
    initStruct->sdkVersion = PLUG_SDKVERSION;
    initStruct->pluginVersion = 1;
    const char* name = "CheckME -->";
    memset(initStruct->pluginName, 0, 128);
    memcpy(initStruct->pluginName, name, strlen(name));

    return pluginInit(initStruct);
}

PLUG_EXPORT bool plugstop()
{
    pluginStop();
    return true;
}



PLUG_EXPORT void  CBDEBUGEVENT(CBTYPE  cbType, PLUG_CB_DEBUGEVENT* info)
{
    //拿一下函数在内存的句柄
    HMODULE hKernel = GetModuleHandle("Kernelbase.dll");
    BYTE* Addr = (BYTE*)GetProcAddress(hKernel, "UnhandledExceptionFilter");

    //定位偏移
    Addr += 0xA9;


    char m_byte = 0x84;
    DbgMemWrite((duint)Addr, &m_byte, 1);

    return;
}





PLUG_EXPORT void plugsetup(PLUG_SETUPSTRUCT* setupStruct)
{
    hwndDlg = setupStruct->hwndDlg;
    hMenu = setupStruct->hMenu;
    hMenuDisasm = setupStruct->hMenuDisasm;
    hMenuDump = setupStruct->hMenuDump; 
    hMenuStack = setupStruct->hMenuStack;

    // 增加二级菜单
    char sub_menu[] = { "PowerBy LyShark" };
    _plugin_menuaddentry(setupStruct->hMenu, 2, sub_menu);

    pluginSetup();
}







BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

值得注意的是,x96dbg开发插件如果要调试的话,稍微有点麻烦

首先是输出要改一下后缀,后缀不能是dll,而是要写.dp32

而且输出目录也要改成x96dbg的插件目录

然后把调试的参数改为x96dbg的exe所在路径

这样之后,按下F5才可以断下来

还有值得一提的是x96dbg的回调导出函数,我这该死的中文文档并未提及,我找了半天

extern  "C"  __declspec ( dllexport )  void  CBINITDEBUG ( CBTYPE  cbType ,  PLUG_CB_INITDEBUG *  info ); 
extern  "C"  __declspec ( dllexport )  void  CBSTOPDEBUG ( CBTYPE  cbType ,  PLUG_CB_STOPDEBUG *  info ); 
extern  "C"  __declspec ( dllexport )  void  CBEXCEPTION ( CBTYPE  cbType ,  PLUG_CB_EXCEPTION *  info); 
extern  "C"  __declspec ( dllexport )  void  CBDEBUGEVENT ( CBTYPE  cbType ,  PLUG_CB_DEBUGEVENT *  info ); 
extern  "C"  __declspec ( dllexport )  void  CBMENUENTRY ( CBTYPE  cbType ,  PLUG_CB_MENUENTRY *  info );

这些回调函数是针对调试器插件开发的,在 x96dbg 中用于处理不同类型的调试事件。以下是每个回调函数的作用:

  1. CBINITDEBUG: 当调试器初始化时调用此回调函数。这个回调函数允许插件在调试器启动时执行一些初始化操作,比如注册一些特定的事件处理器或者设置一些调试环境。

  2. CBSTOPDEBUG: 当调试器停止时调用此回调函数。这个回调函数允许插件在调试器停止时执行一些清理工作,比如释放资源或者关闭一些已经打开的文件。

  3. CBEXCEPTION: 当调试器捕获到异常时调用此回调函数。这个回调函数允许插件处理程序中的异常情况,比如访问违规或者除零等。

  4. CBDEBUGEVENT: 当调试器捕获到调试事件时调用此回调函数。这个回调函数允许插件处理各种调试事件,比如断点命中、单步执行、内存访问等。

  5. CBMENUENTRY: 当用户在调试器菜单中选择了插件提供的菜单项时调用此回调函数。这个回调函数允许插件执行与菜单项相关的操作,比如执行特定的分析、跳转到特定的地址等。

他喵的终于断下来了

cccsl_
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++-源代码调试-Visual Studio-X64dbg-WinDbg-插件开发
插件开发
11-09 516
如果宿主软件,存在反调试技术,我们开发插件的第一步就是干掉反调试,但这往往是一个复杂的工程,具体的技术可以查看相关教程,这样就需要一个强大的反汇编工具,比如X64dbg,同样可以先启动目标软件,然后可以在指定模块下断点,查看程序运行情况,使用X64dbg的读者,需要具备一定的逆向分析能力,如汇编代码阅读能力。看到此文的很多读者,可能会疑问,都有源代码,还要介绍怎么调试,这是为何,这主要是很多时候系统运行的复杂性,有可能我们只有部分代码,或者传统的调试器无法使用(反调试技术的存在)。
(OD API 开发手册)编写OllyDbg插件的"MSDN"
07-14
(OD API 开发手册)编写OllyDbg插件的"MSDN"
x96 Dbg ,包括32和64位的调试!!!!!!!!
04-05
x96 Dbg ,包括32和64位的调试!!!!!!!!
探秘`dbg(...)`:快速调试利器
最新发布
gitblog_00040的博客
05-12 383
探秘dbg(...):快速调试利器 项目地址:https://gitcode.com/sharkdp/dbg-macro 在繁忙的开发过程中,有时候我们需要一个简单快捷的方式来查看程序运行时的变量值,而无需复杂的调试器设置。这就是dbg(...)宏发挥作用的地方。它是一个单头文件的轻量级库,让您的printf或std::cout调试体验更上一层楼。 项目简介 dbg(...)项目提供了一个名为db...
OllyDBG插件OllyGal1.10
永遠に幼き紅い月
07-30 237
  嗯,不知道发汉化技术版还是发多媒体教室。发在这里应该多点人可以看到吧。首先说说做这个东西的动机。   本来是打算做一个东西出来给DC2应援的,结果脑残就做了个OllyDBG的插件,后来做着做着就做成这个样子了orz   将插件复制进ollydbg目录下的plugin目录即可。   插件有两个功能:   1、查找一个函数的所有调用参考: [img]http://i447.photobu...
OllyDbg插件编写
曲终人散
06-29 2616
首先要去下载ollydbg.lib和plugin.h这两个文件,放到程序文件夹里面 #define  _CHAR_UNSIGNED #include #include "plugin.h" #include #include "resource.h" #pragma comment(lib,"ollydbg.lib") t_table   g_stcHelloWo
OllyDbg插件
曲终人散
06-29 3095
第一章 初探OllyDbg1插件 官网http://www.ollydbg.de/给出了关于插件开发的信息。OllyDbg1.10的插件开发包在http://www.ollydbg.de/plug11.zip。该压缩包包含以下文件: │ Bookmark.c       OllyDbg书签插件源码,该插件支持调试程序时设置10个书签 │ Cmdexec.c         OllyDbg
x64dbg插件集合x64dbg插件集合
09-04
这个“x64dbg插件集合”压缩包包含了一系列扩展x64dbg功能的插件,使得调试过程更加高效和便捷。下面将详细介绍这些插件以及它们在逆向工程中的作用。 1. **CodeView** 插件:这个插件增强了x64dbg的代码视图,提供...
x64dbg x64仿od调试
04-13
10. **兼容性**:x64dbg不仅适用于Windows平台,还能与其他调试工具如OllyDbg和Windbg协同工作,通过插件或脚本接口实现跨工具的数据共享和操作。 总之,x64dbg是一款全面的64位调试解决方案,无论你是软件开发者、...
x64dbg调试器 2024 最新版
03-20
这是一款功能强大的二进制调试器,专为Windows...x64dbg提供了全面的插件系统,让用户可以轻松添加自定义功能。相较于传统的调试器如Ollydbg,它填补了传统调试器的不足,提供了更高效、更可靠的反汇编调试解决方案。
x64dbg 简体中文版 动态调试
05-07
最新x64dbg软件-比OD更好的工具,原生支持中文界面和插件 x64dbg是一款专业的windows系统下的64位调试器,界面简洁、操作简单,与“OllyDbg调试工具非常相似,如果之前使用过OllyDbg这款调试工具的朋友,可以直接...
ollydbg_plugin:OD插件重命名函数(打标签),在内存窗口中按照指定字节数排序数据
04-01
ollydbg_plugin 支持功能:给函数加标签,重命名函数。 点击右键修改函数名称 点击确定修改函数名称 在内存窗口快速根据输入或相应的数据并保存到磁盘 首先首先需要复制的数据的第一个字节 点击鼠标,选择“复制指定字节数” 输入需要选择的字节数 有时自动需要相应大小的数据。有时候需要跟踪程序调用writeFile API写了什么东西到磁盘中时,就可以使用这个插件来选择并复制指定大小的数据。 在上方需要保存的数据之后选择“将上方的数据保存到文件” 在弹出的另存为初始中选择需要保存到的路径以及文件名 点击保存弹出成功往xx写入xx字节数据即为保存成功 去做 修改函数名称 内存转储快速根据地址和大小选择相应的数据 内存转储时可以快速把内存中的东西保存到磁盘
CheatEngine/CheatEngine汉化补丁/x96Dbg/OllDbg
04-02
CheatEngine/CheatEngine汉化补丁/x96Dbg/OllDbg
X64DBG官方自带中文多国语言版
07-03
用于64位的程序反汇编调试
OllyDBG1.10中文版安装包 含各种插件
09-10
Ollydbg1.10中文版,含各种插件,功能齐全,比英文原版更加方便
反汇编逆向神器 x64dbg 2020.07.04 修订版
07-05
x64dbg,逆向反汇编修改神器,免费开源x64/x32位动态调试器,适用Windows的专业程序调试器,软件原生支持中文界面和插件,其界面及操作方法与OllyDbg调试工具类似,支持类似C的表达式解析器、全功能的DLL和EXE文件...
OllyDbg Plugin Development Kit 1.10
子曰小玖的博客
10-29 362
Plugin Development Kit 1.10 Download PDK 1.10 Compilation To compile your own plugin, you need some C or C++ compiler (together with linker and run-time libraries). Plugin interface (fileplugin.h) is compatible at least with following compilers: Borla.
Ollydbg的LoadMapEx插件
lixiangminghate的专栏
05-16 2165
看雪上有人问如何让OD识别C语言库函数,特别是Release版本的。在楼下的回复中看到有人提到用IDA产生MAP文件,然后在OD-CPU窗口右键用LoadMapEx加载Map即可。     出于好奇,我用OD加载Release版本的测试程序: #include int _tmain(int argc, _TCHAR* argv[]) { int i; fopen("c:\\1.txt
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
ollydbg 插件开发文档
08-20
ollydbg 插件开发文档是一个详细的指南,旨在帮助开发者了解和使用ollydbg软件的插件开发功能。该文档提供了对插件开发的基本概念和原理的解释,并介绍了如何编写、调试和测试ollydbg插件的步骤和技巧。 首先,文档介绍了ollydbg插件框架的基本结构和组成部分。它讲解了插件的主要组成部分,如菜单、工具栏、命令和事件处理函数,并解释了它们之间的关系和相互作用方式。同时,文档还提供了一些常用的API函数的说明,以供插件开发者调用和使用。 接下来,文档详细介绍了ollydbg插件开发所需的工具和环境配置。它提供了编译和链接插件的方法和要求,并展示了如何在ollydbg中加载和运行插件。此外,文档还介绍了ollydbg插件调试技巧,包括如何使用ollydbg调试器和断点功能来调试插件本身。 在插件开发过程中,文档还提供了一些示例代码和案例研究,以帮助开发者更好地理解和应用ollydbg插件开发功能。开发者可以参考这些示例代码,并根据自己的需求进行修改和扩展。 最后,在文档的结尾部分,还提供了一些常见问题和解决方案,以供开发者参考。这些问题涵盖了插件开发过程中可能遇到的各种情况和困难,并给出了相应的解决方案和建议。 总之,ollydbg插件开发文档是一个全面而深入的指南,旨在帮助开发者充分了解和开发ollydbg插件。通过阅读和使用该文档,开发者可以更加高效地开发功能强大的ollydbg插件,并为软件逆向工程调试提供更好的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值