Ollydbg异常处理设置项

最新推荐文章于 2024-02-21 18:32:46 发布
最新推荐文章于 2024-02-21 18:32:46 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: 调试 器之卷 文章标签: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/55805590
版权

打开ollydbg点击"选项"-"Debugging options"-"Exceptions"用于设置异常出现时od的默认处理行为。

windows异常机制中对异常的处理为:第一次异常处理过程中,先寻找调试器,如果调试器能处理异常,则结束异常处理流程,否则将异常交由程序的VEH/SEH机制处理;如果程序处理了异常,则结束异常处理,否则,windows进行第二次异常处理过程。"Ignore (pass to program) following exception"下的复选框被勾选/取消时,将影响Od第一次异常处理的行为。当复选框被勾选时,od收到异常后,返回"异常未处理"给系统,进而由应用程序来处理异常;当复选框未被勾选,od返回"异常已处理"给系统,由此停止异常处理流程。

接下来,我们用一段程序来说明这个结论,在main函数中触发av异常,如果在第一轮异常处理中,Od处理了异常,则不会进入exceptFilter异常过滤函数;反之,程序会进入exceptFilter函数,并以此输出"filter"和"end":

 

#include <stdio.h>

int exceptFilter()
{
	printf("filter\n");

	return 1;
}

int _tmain(int argc, _TCHAR* argv[])
{
	if(argc==1)
	{
		__try
		{
			*(int*)0=1;
		}
		__except(exceptFilter())
		{}
	}
	printf("End\n");
	return 0;
}

 

 

先来看下av项未被勾选,程序运行到*(int*)0=1时的情况:

这种情况下,任由我按F7单步运行,程序一直卡死在指令:

 

010E10A5     C7             DB C7

并在Od底部显示"Access violation...use Shift+F9 to pass exception to pragram". 

 


为什么有这样的现象?很简单,因为Od返回异常已处理,但事实是异常还在,下一次运行这条指令时还会触发av异常,这次Od又返回异常已处理。如此往复,就显得程序卡死在这条指令上。如果我们按Od的提示,按下"shift+F9"则会使程序进入exceptFilter函数。

现在,我们勾选av复选框,让od不处理异常,然后重启程序,程序顺利进入异常处理函数exceptFilter,并没有卡死在av指令上:

POC~

Eugene800
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x64dbg调试程序遇到异常:406D1388,MS_VC_EXCEPTION. E06D7363, CPP_EH_EXCEPTION
磁悬浮青蛙呱呱呱
07-16 6916
x64dbg调试某个程序遇到异常:第一次异常于00007FFA2EDDA839 (406D1388, MS_VC_EXCEPTION)!无视异常继续运行,加载一些dll文件后还是断在kernelbase.dll的00007FFA2EDDA839处,不过括号里面的内容变成了(E06D7363, CPP_EH_EXCEPTION). 这可能是某种反调试的技术吧,在x64dbg选择 调试 > 高级 > 隐藏调试器(PEB),便不会出现异常,能正常调试了。如果遇到反调试技术更强的软件,...
[转载]OllyDbg完全教程
J0y4n的专栏
02-03 2109
一,什么是 OllyDbgOllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题,并且可以处理其它编译器无法解决的难题。 Version 1.10 是最终的发布版本。 这个工程已经停止,我不再继续支持这个软件了。但不用担心:全新打造的 OllyDbg 2.00 不久就会面世! 运行环境: OllyDbg 可以以在任何采用奔腾
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
IDA按F5反汇编伪代码错误Please use ida (not ida64) to decompile the current file
最新发布
天道酬勤,地道酬善,人道酬诚,商道酬信,业道酬精
02-21 1335
IDA不能F5反汇编成为伪代码,提示WarningPlease use ida (not ida64) to decompile the current file不给我转伪代码,不让我用ida64,IDA按F5反汇编伪代码错误
OllyDbg超简明手册
java卡的专栏
05-17 579
第一次启动时提示是否删除Dbghelp.dll,选择是。主菜单|options|Add to Explorer   将OD加到资源管理器右键菜单。主菜单|options|Debugging options|Exceptions   可设定一些需要忽略的异常。主菜单|options|Debugging options|Events|Break on new module(DLL)   需要某个动
OllyDbg完全教程
chenqunan3231的博客
03-09 631
SUB EDX,100 JB DEFAULTCASE JE CASE100 ; Case 100 DEC EDX JNE DEFAULTCASE ... ; Case 101 这个序列可能还包含一到两阶的转换表、直接比较、优化和其他元素。如果在比较或跳转的很深处,这就 很难知道哪是一个分...
Windows下反反调试技术汇总
qq138480084的博客
09-15 2355
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
OD调试的程序无法处理例外
friendan的专栏
01-22 4901
参考文章:http://www.cnblogs.com/qintangtao/p/4023401.html OllyDbg调试的程序无法处理例外 --------------------------------------------------------------------------------------------------------------- 解决方法: 菜单---
关于OLLYDBG版本调试的时候无法进入默认入口点的问题解决方案。
qq_33095171的博客
09-11 1353
      兄弟们,别折腾了,用下原版OLLYDBG跑一下程序看能不能在程序入口点断住,原版能的话,那么就是你的修改版OD出问题了。        一定要用的话,将修改版的插件全部清除再跑一下程序试试,我没试过。推荐用X64DBG(OD的64位版本)。 对就是下面的这小虫子。 ...
OllyDBG处理C++ EH exception异常
weixin_30915951的博客
07-11 903
近日在用OllyDBG调试程序时出现异常,停留在堆栈 [0012F358]=77BE14BC (msvcrt.77BE14BC), ASCII "Access violation - no RTTI data!",异常代码是E06D7363,强行Shift+F8/F9后,然后还会继续持续异常,报0eedfade,如此循环。 开始时怀疑是程序内部做了防DEBUG监控处理,用IsDebugP...
OllyDbg快捷键大全
10-17
文档包含了OllyDbg调试器的所有快捷键的说明以及使用方法介绍。
ollydbg
02-19
ollydbg
OLLYDBG HawkOD
02-18
HawkOD最新版是一款非常专业的BlackHawk专用OD调试器,HawkOD最新版能够修改软件的各类签名,HawkOD最新版被通常用作对脚本的编辑和对OD的编辑,软件能用来修改窗口签名、修改CPU窗口名为BH、修改OD子窗口的类名、...
OllyDbg完全教程_OllyDbg教程_
10-03
OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题,并且可以处理其它编译器无法解决的难题。
Ollydbg.rar
07-02
功能强大的反汇编工具。
OllyDbg笔记-异常忽略相关设置
IT1995的博客
12-27 5785
首先是OllyAdvanced插件Options相关 把这两个勾上 这个其实对应的是这个 在异常设置 再添加范围
X64dbg使用技巧
aketoshknight的博客
06-08 4861
X64dbg使用技巧 前言:各类杂x64dbg的使用技巧 示例1:进出call
OllyDbg调试总是进入RtlRaiseException 异常处理函数
Flyour的博客
09-16 2919
OllyDbg调试软件时,有时候会遇到一些奇怪的异常,莫名就进入了一个异常处理函数。让人很是苦恼,不能正常的进行调试。 比如我在分析cve-2010-2883 漏洞时,用Od调试Adobe reader时,就会莫名进入异常处理函数,如下: 这种异常是很不正常的,为了证明不是漏洞文件的问题,我特意在进程正常附加的情况下,用adobe reader打开一个正常的pdf文件。 然后发现,当我在a...
5. OD-把限制的功能恢复,把阉割的功能添加(未注册版本,部分功能不可使用的修改)
墨痕诉清风的博客
02-26 1514
导入后程序运行F9出现异常, 使用shift+F7/F8/F9来忽略程序异常 异常就是程序的抛异常,比如除数不能为0,对系统有破坏,做异常处理。 或者   1. 在弹出程序错误时,提示功能未注册版本限制时,此时地址为0x7xxxxxxx,ret 2. 按暂停键 3. 点击按钮运行限制功能,界面会停留下来再ret位置,Alt+F9返回用户界面修改,或者点击界面调用者返回上级...
ollydbg 1.1
08-29
它还可以在调试过程设置断点,让程序在特定的位置停止执行,以便进一步分析程序。 另一个重要的特点是OllyDbg可以与插件一起使用。用户可以根据自己的需要自定义插件来增强调试器的功能,例如添加新的命令、修改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值