x64dbg调试程序遇到异常:406D1388,MS_VC_EXCEPTION. E06D7363, CPP_EH_EXCEPTION

已于 2024-11-26 10:15:10 修改
阅读量8.4k 收藏 13
点赞数 6
文章标签: 逆向 x64dbg 调试器
于 2020-07-16 00:22:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pijianzhirui/article/details/107373846
版权
在使用x64dbg调试程序时遇到406D1388 (MS_VC_EXCEPTION) 和 E06D7363 (CPP_EH_EXCEPTION) 异常。通过隐藏调试器(PEB)选项可避免异常,允许正常调试。此外,使用如SharpOD之类的插件应对反调试策略,或者参考ScyllaHide和TitanHide等插件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        x32dbg或x64dbg调试某个程序遇到异常:第一次异常于00007FFA2EDDA839 (406D1388, MS_VC_EXCEPTION)! 无视异常继续运行,加载一些dll文件后还是断在kernelbase.dll的00007FFA2EDDA839处,0F1F4400 00  nop dword ptr ds:[rax+rax],eax. 不过报异常的括号里面的内容变成了(E06D7363, CPP_EH_EXCEPTION). IDA选择Local Win32 debugger也容易出现406D1388异常,Ollydbg倒较少遇到这个异常。
       在x64dbg中选择 调试 > 高级 > 隐藏调试器(PEB),便不会出现异常,能正常调试了。如果遇到故意引起异常来反调试的软件,可以使用一些x64dbg的插件,比如SharpOD. 还可以到https://github.com/x64dbg/x64dbg/wiki/Plugins下载ScyllaHide, TitanHide等。

        PEB是指Process Environment Block,进程环境块,是Windows系统定义的结构体,其成员如下:(来源 PEB (winternl.h) - Win32 apps | Microsoft Learn

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  PVOID                         Reserved4[3];
  PVOID                         AtlThunkSListPtr;
  PVOID                         Reserved5;
  ULONG                         Reserved6;
  PVOID                         Reserved7;
  ULONG                         Reserved8;
  ULONG                         AtlThunkSListPtr32;
  PVOID                         Reserved9[45];
  BYTE                          Reserved10[96];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved11[128];
  PVOID                         Reserved12[1];
  ULONG                         SessionId;
} PEB, *PPEB;

 一个具体的例子如下:(来源 !peb (WinDbg) - Windows drivers | Microsoft Learn

kd> !peb
PEB at 7ffdf000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         4ad00000
    Ldr                       77fbe900
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00241ef8 . 00242360
    Ldr.InLoadOrderModuleList:           00241e90 . 00242350
    Ldr.InMemoryOrderModuleList:         00241e98 . 00242358
            Base TimeStamp                     Module
        4ad00000 3d34633c Jul 16 11:17:32 2002 D:\WINDOWS\system32\cmd.exe
        77f40000 3d346214 Jul 16 11:12:36 2002 D:\WINDOWS\system32\ntdll.dll
        77e50000 3d3484ef Jul 16 13:41:19 2002 D:\WINDOWS\system32\kernel32.dll
....
    SubSystemData:     00000000
    ProcessHeap:       00140000
    ProcessParameters: 00020000
    WindowTitle:  'D:\Documents and Settings\Administrator\Desktop\Debuggers.lnk'
    ImageFile:    'D:\WINDOWS\system32\cmd.exe'
    CommandLine:  '"D:\WINDOWS\system32\cmd.exe" '
    DllPath:      'D:\WINDOWS\system32;D:\WINDOWS\system32;....
    Environment:  00010000
        ALLUSERSPROFILE=D:\Documents and Settings\All Users
        APPDATA=D:\Documents and Settings\UserTwo\Application Data
        CLIENTNAME=Console
....
        windir=D:\WINDOWS

BeingDebugged成员用于指定该进程是否处于调试状态,我猜“隐藏调试器”的效果就是把PEB结构体中的BeingDebugged由True改为False.

x64dbg(最新snapshot集合多个插件及皮肤)
11-24
x64dbg懂的人知道是做什么用的,不懂的就不懂了,不做细说
x64dbg支持中文搜索的插件:x64dbg_tol
07-02
值得注意的是,x64dbg_tol有针对不同体系结构的版本,如"x64dbg_tol.dp32"适用于32位系统,而"x64dbg_tol.dp64"则是为64位系统设计的。确保根据实际操作系统的位数选择合适的插件文件进行安装,这样才能确保插件的...
windows环境编程: 线程创建函数 设置线程名 隐藏DOS窗口 重定向IO
鸟窝
12-26 2469
_beginthreadex是微软的C/C++运行时库函数,CreateThread是操作系统的函数。 _beginthreadex通过调用CreateThread来实现的,但比CreateThread多做了许多工作。 注意:若要创建一个新线程,绝对不要使用CreateThread,而应使用_beginthreadex.            Why?
实战领域:脱壳操作手册
xixixi7777的博客
03-18 580
【代码】实战领域:脱壳操作手册。
x64dbg 调试 EXCEPTION_ACCESS_VIOLATION C0000005
qq_42402783的博客
05-23 2420
报错发生 exceptions range from 0000000 to FFFFFFFF but can't skip C0000005 (EXCEPTION_ACCESS_VIOLATION) 目前解决方法: 取消ScyllaHide所有勾选,再试一次,对我来说来说效果很好 有其它问题持续更新
[x64dbg] 加密与解密-x32dbg和x64dbg的下载及详细安装过程(附有下载文件)
2301_77946674的博客
09-05 6255
x64dbg、x32dbg和ollydbg的分析操作区别不大,所以我用x64dbg和x32dbg。链接:https://pan.quark.cn/s/e6065bc0fcf6。得到如图,先安装x32dbg,双击release。接下来是x64dbg安装,过程和x32dbg类似。如果需要ida,可以在主页找到下载链接及安装过程。安装完成,可以在桌面看到如图标志。解压后得到x64dbg文件。打开,点击release。双击x96dbg.exe。双击x32dbg.exe。双击x64dbg.exe。
4.4 x64dbg 绕过反调试保护机制
CSDN
07-08 6816
在Windows平台下,应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身,通常此类反调试技术会限制我们对其进行软件逆向与漏洞分析,我们以第一种`IsDebuggerPresent`反调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,则返回True,否则返回False。
os_dbg_r.rar_OSDBG_os_dbg.c_os_dbg_r_os_dbg_r.c
09-20
总结来说,`os_dbg_r.c`是UCOS2中用于调试操作系统的关键组件,它包含了丰富的调试接口和功能,可以帮助开发者深入理解UCOS2的内部工作原理,有效地诊断和解决问题。通过对`OSDBG`模块的深入研究和使用,开发者能够...
dbg_new.zip_dbg_new_dbg_new.t_dbg_new.tgz_dbg_new.zip_内存泄露
09-23
标题中的“dbg_new.zip_dbg_new_dbg_new.t_dbg_new.tgz_dbg_new.zip_内存泄露”虽然看起来像一个拼接的字符串,但它可能表示的是一个用于调试内存泄露问题的工具或一系列文件。描述明确指出,这是一个关于动态内存...
TitanEngine-x64dbg_titanengine_x64dbg逆向程序_TitanEngine.dll_
09-30
TitanEngine-x64dbg用到的汇编工具
x64dbg.rar
03-14
x64_dbg是一款windows系统下非常优秀的64位调试器,与目前热门的“OllyDbg”十分相似,使用过OllyDbg调试工具的朋友应该很容易上手操作。软件具有简洁的界面以及强大的功能,提供了类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用功能,整体效果十分乐观
X64 DBG(2018-12-30版).zip
07-03
X64 DBG(2018-12-30版)
x64dbg 20180902
09-24
最新的x64dbg ,支持x64 x32调试,更新频繁,有超越od的可能性
x64dbg_2018_10_11
04-19
x64dbg_2018_10_11 类似于OD的调试器,支持32位/64位调试
x64dbg.rar_-baijiahao_screen9hy_x64dbg 中文帮助文档_x64dbg中文手册_x64dbg
07-15
x64dbg 中文帮助文档 DBG 是调试器的调试部分。它处理调试技术(使用 TitanEngine),并将为 GUI 提供数据。
cpp——exception
mardax的专栏
10-28 321
exception
x64dbg: 用于Windows的开源二进制调试器
网络研究观
08-19 520
Windows的开源用户模式调试器。针对逆向工程和恶意软件分析进行了优化。
# # A fatal error has been detected by the Java Runtime Environment: # # EXCEPTION_UNCAUGHT_CXX_EXCEPTION (0xe06d7363) at pc=0x00007ff95901b699, pid=31820, tid=35732 # # JRE version: Java(TM) SE Runtime Environment (17.0.14+8) (build 17.0.14+8-LTS-191) #
最新发布
03-23
### Java 运行时环境中的 `EXCEPTION_UNCAUGHT_CXX_EXCEPTION` 错误解决方案 在当前场景下,您提到的错误可能与多个因素有关,包括 JDK 版本兼容性、第三方库冲突以及 JVM 配置不当等问题。以下是针对该问题的具体分析和解决方法: #### 1. **JDK 版本兼容性** 当前使用的 Java 17 可能存在与某些工具(如 JMeter 或其他依赖项)不完全兼容的情况。例如,在引用中提到的日志显示,`DarkLAF UI Bridge` 尝试访问 `sun.awt.shell.ShellFolder` 类失败[^1]。这是因为自 Java 9 起引入模块化系统后,默认情况下不再导出内部 API。 解决方案可以尝试降级到较旧版本的 JDK(如 JDK 8),或者升级相关工具至支持更高版本 JDK 的稳定版。如果无法更改 JDK,则可以通过命令行参数强制启用特定模块: ```bash --add-opens=java.desktop/sun.awt.shell=ALL-UNNAMED ``` #### 2. **第三方插件或依赖冲突** 如果项目中有额外的第三方插件(如 Kafka Spring Boot Starter 和 Kafka Client Library),它们可能会引发类似的异常。例如,Spring Boot 和 Kafka 客户端之间的版本差异可能导致运行时崩溃[^3]。因此建议验证并统一所有外部组件的版本号。 #### 3. **调整 JVM 参数优化性能表现** 对于高负载测试工具像 Apache JMeter 来说,适当增加堆内存分配有助于缓解潜在的压力源从而减少意外终止的风险[^4]。编辑位于 `${JMETER_HOME}/bin/jmeter` 文件内的配置部分来提升最大可用 RAM 数量: ```properties HEAP="-Xms1g -Xmx4g" NEW="-XX:NewSize=512m -XX:MaxNewSize=1024m" SURVIVOR="-XX:SurvivorRatio=8" ``` #### 4. **排查具体 C++ 层面的问题** 倘若上述措施未能奏效,那么还需深入探究是否存在底层实现上的缺陷。通常这类跨语言交互产生的未捕获异常往往源于本地代码段逻辑瑕疵或是动态链接库加载失误所致。此时可借助调试器定位确切位置进而修复之。 ```cpp try { // Critical Section Code Here... } catch(const std::exception& e){ fprintf(stderr,"Caught an exception:%s\n",e.what()); } ``` --- ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值