逆向-下字符串查找的条件断点

最新推荐文章于 2024-11-03 11:01:20 发布
最新推荐文章于 2024-11-03 11:01:20 发布
阅读量445 收藏 10
点赞数 3
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joinpark/article/details/142673484
版权

为了跟踪console程序在访问某个文件时失败的问题,在内核中下了断点,但是内核中文件部分调用太频繁了,无法等到自己的文件。所以最好还是根据条件来下断点。

程序如下

想要在FileName是指定文件时停下来,例如FileName是c:\temp\file.txt的时候。

从代码可以看到FileName是个参数,但是可能是NULL,因此断点只能下到这一行:

memzero(&MyContext, sizeof(MyContext));

如果要比较需要知道FileName的值,但是FileName的值如何获取呢?

下断点在这里,断点到了之后,查看汇编

发现poi(rsp+50)里就是FileName的数据

于是编写script代码,文件名find2.sc:

bp fffff800`79c61082  "
r $t1=poi(rsp+50)
 as /mu $FileName $t1

.block
{
 .if($spat(\"${$FileName}\",\"*file.txt\")) 
 {
  .echo 'find...';
  ad ${/v:$FileName}
 }
 .else 
 {
  ad ${/v:$FileName}
  gc
 }
}"

其中bp下的断点位置,是memzero(&MyContext, sizeof(MyContext));汇编所在的位置,直接在windbg命令行里直接输入如下命令运行,包括$$><等符号

$$><c:\temp\find2.sc

这样在访问file.txt的时候就停止下来了。

注意由于下脚本断点速度影响较大,文件访问很多,导致系统很慢,可以在console程序访问该文件前,使用 system("pause");暂停,然后再下断点。或者下了断点先禁用,等运行console程序停下来,再使能断点。

具体脚本解释,可以参考:如何写windbg高级脚本---以访问文件的windbg脚本为例说明 (pediy.com)

joinpark
关注
【愚公系列】2023年06月 逆向分析之Ollydbg(字符串、WindowsAPI搜索)
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的反汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以反汇编并调试x86二进制文件支持多种反汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
WinDbg学习笔记(二)--字符串访问断点
liujiayu2的专栏
12-30 822
一、前言     本文是我自己学习WinDbg的过程,因为目标是逆向分析一个驱动文件,但现在对驱动开发的知识还不是很熟悉,所以先在用户级练习一下破解,熟悉一下操作。我选择的破解程序是《OllyDBG 入门系列(二)-字串参考》中的Crack3.exe,也模仿一下在OllyDbg破解的流程,在WinDbg实现一遍。 二、调试思想    《OllyDBG 入门系列(二)-字串参考》一文中是使
逆向分析常用断点
Nattevak
12-19 890
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A) 创建定制消息框 拦截警告声: bp MessageBeep 发出系统警告声(如果没有声卡就直接驱动系统喇叭发声) 拦
bugku-逆向-11、不好用的ce
Onlyone_1314的博客
09-19 7958
下载程序,运行一下: 点确定,有会弹出一个新的窗口: 点击Command按钮,左上角的数字就会增加,大概是要我们点击一万次: 再用PEiD看一下有没有加壳: 并没有加壳,是MFC编程的小软件。所以我们用IDA打开,是没法查看伪代码的: 查看字符串也没有找到有用的信息,只有一个标题的From1: 直接用OD打开,动态调试: MFC程序停在统一的外层入口处7770A9E0,直接Ctrl+G或者点击断点跳转到我们内层程序: 右键->查找->所有参考文本: 其实上面的DeZmqMUhR
iOS逆向--加密算法
henry_lei的博客
11-25 432
一、加密算法分类 哈希(散列)函数:不属于加密算法。例如MD5、SHA1/256/512 对称加密算法:DES、3DES、AES(高级密码标准,mac电脑的钥匙串就是用AES) 非对称加密算法:RAS 1、Hash Hash,一般翻译做“散列”,也有直接译为“哈希”的,就是把任意长度的输入通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值,简单的说就是一种将任意长度的消息压
逆向入门CrackMe001(关键字符串
weixin_62621015的博客
03-15 347
逆向入门CrackMe001(关键字符串)学习笔记
汇编逆向-Qt
xinqingwuji的博客
12-12 4364
自定义破解入门
Win32汇编:字符串浮点数运算过程
CSDN
09-04 1万+
该笔记重点复习字符串操作指令的一些使用技巧,以及浮点数运算相关内容,浮点数运算也是非常重要的知识点,在分析大型游戏时经常会碰到针对浮点数的运算指令,例如枪械换弹动作,人物跳跃时的状态,都属于浮点数运算范围,也就一定会用到浮点数寄存器栈,浮点指令集主要可分为,传送指令,算数指令,比较指令,超越指令,常量加载指令等。
iOS逆向-- fishhook原理分析
henry_lei的博客
11-12 708
一、 hook分类 runtime 利用OC的Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的。主要用于OC方法 fishHook 是Facebook提供的一个动态修改链接mach-O文件的工具,利用MachO文件加载原理,通过修改懒加载和非懒加载两个表的指针达到C函数HOOK的目的 Cydia Substrate 原名是Mobile Substrate,它的主要作用是针对OC方法、C函数已经函数地址进行HOOK操作,并不是仅仅针对iOS设计的,安
stringsx64dbg:x64dbg的字符串插件
04-03
stringsx64dbg的核心功能在于它能够快速查找和分析内存中的可打印字符串。在逆向工程和恶意软件分析中,字符串往往是理解程序行为的关键线索,例如,URL、文件路径、错误消息或API调用等。通过这个插件,用户可以...
【愚公系列】2023年06月 逆向分析之Ollydbg(断点设置)
热门推荐
时光隧道
09-30 4万+
软件断点:在目标程序中插入的断点,可通过修改程序指令来实现调试控制。硬件断点:在CPU或存储器中设置的断点,可以捕获读取/写入操作,或者是当CPU执行到特定地址时暂停程序执行。内存断点:可以监视指定内存地址的读取、写入或执行操作,从而帮助解决内存访问问题。要设置断点,首先需要在Ollydbg中找到要断点的位置。可以手动在代码窗口中找到,也可以使用搜索功能来找到有特定特征的位置。然后,右键单击要断点的位置,选择断点类型(软件断点、硬件断点或内存断点),并设置断点选项(例如,仅在特定条件下停止执行)
190505 逆向-DDCTF2019(Reverse)
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
HashMap为什么线程不安全?
最新发布
rnnf_yyds的博客
11-03 130
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 809
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 864
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
SpringSession源码分析
lkr_lkr的博客
11-01 249
默认对常规Session的理解和使用,如何使用Set-Cookie。
函数式接口与回调函数实践
m0_37635053的博客
10-29 407
函数式接口与回调函数
Android 13 解决 Settings 首页矢量图修改颜色不生效
人生只是一种体验,不必用来演绎完美。
10-30 283
从Android 12 开始, 推出了Material You 设计,并在 Android 13 中得到了改进。导致了修改svg颜色不生效的问题。
Ollydbg调试必备:常用断点详解与操作
4. **bpGetWindowText(A)** 和 **bpGetDlgItemText(A)**: 这些断点用于获取控件(如窗口标题或文本框)中的文本内容,可以帮助你解析用户输入、消息提示或调试字符串处理函数。 5. **bpMessageBox(A) 和相关变体**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值